신종 정보 탈취 악성코드 “ColdStealer” 유포 중

ASEC 분석팀은 신종 악성코드로 추정되는 ColdStealer가 유포 중임을 확인하였다. 해당 유포는 기존 블로그에서 수차례 언급하였던 크랙 및 툴 등의 S/W 다운로드로 위장한 방식이다. 이러한 방식의 악성코드 유포에는 두 가지 케이스가 존재하는데 1. CryptBot, RedLine 등의 단일 악성코드를 유포하는 케이스와,2. 내부 다양한 여러 악성코드가 압축 해제되어 실행되는 드로퍼형 악성코드이다. ColdStealer의 경우 후자의 방식으로 유포되었다. 이러한 악성코드 유포 케이스는 아래 블로그를 참고하길 바란다. S/W 다운로드 위장, 다양한 종류의 악성코드 유포 드로퍼 악성코드 내부에 다운로더 악성코드가 존재하고, 해당 다운로더 악성코드가 실행될 경우 C2로부터…

취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 (2)

지난 2월 14일 ASEC 분석팀은 취약한 MS-SQL 서버를 통해 코발트 스트라이크가 유포됨을 공유하였다. 이번 사례는 당시 유포 방식과 다른 프로세스 트리 구조를 갖는 형태의 코발트 스트라이크를 유포하는 정황을 확인하였다. 확인된 유포 방식은 MS-SQL 서버 관련 프로세스인 sqlservr.exe가 취약점에 의해 cmd.exe를 실행하는 것 까지는 동일하나, 이후 mshta.exe와 rundll32.exe를 이용하여 메모리 상에서 파일리스 형태로 코발트 스트라이크를 실행하는 점이 다르다. 공격자는 MS-SQL 취약점에 의해 실행된 cmd.exe를 통해 mshta.exe 프로세스를 실행하였다. mshta.exe는 정상 윈도우 유틸리티로써 Java 스크립트, Visual Basic 스크립트 실행 및 URL을 직접…

지원서 및 저작권 관련 메일로 LockBit 랜섬웨어 유포 중

ASEC 분석팀은 최근 이력서, 저작권 관련 내용으로 사칭한 메일을 통해 랜섬웨어가 유포되고 있음을 확인하였다. 이러한 내용의 악성 메일은 과거부터 꾸준히 유포되고 있다. 기존 Makop 랜섬웨어를 유포했던 것과 달리 최근에는 LockBit 램섬웨어를 유포하고 있다. 저작권 위반 관련 내용으로 유포되는 Makop 랜섬웨어 이력서로 위장한 Makop 랜섬웨어 국내 유포 중 유포가 확인된 메일에는 암호가 설정된 압축 파일이 첨부되어 있다. [그림1]에 첨부된 압축 파일 내부에는 다음과 같이 ‘저작권법 관련하여 위반인 사항들 정리하여 보내드립니다.jpg’  파일과 ‘이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe’ 파일이…

Microsoft 위장 피싱 공격 증가

최근 ASEC 분석팀은 Microsoft 로그인 페이지를 위장한 피싱메일 유입 정황을 포착하였다. 수집된 피싱메일 샘플은 아래의 그림과 같이 해당 기업의 보이스 메시지를 위장하여, playback 파일열람 첨부파일의 클릭을 유도하는 내용으로 구성되어 있다. 해당 첨부파일을 클릭할 경우 Microsoft 로그인 페이지를 위장한 피싱 페이지로 이동한다. 또 다른 샘플은 스캐너를 통해 전송된 파일로 위장하여, 첨부파일 클릭을 유도하는 내용으로 구성되어 있다. 해당 첨부파일 클릭 시, 마찬가지로 Microsoft 로그인 페이지를 위장한 피싱 페이지로 이동한다. 두 샘플 모두 첨부파일 클릭 시, 각각 [그림 3], [그림 4]와 같이 Microsoft…

취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT

ASEC 분석팀은 취약한 MS-SQL 서버를 대상으로 하는 공격을 지속해서 모니터링하고 있다. 공격에 취약한 MS-SQL 서버라고 한다면 일반적으로 계정 정보를 부적절하게 관리함에 따라 무차별 대입 공격(Brute Forcing)이나 사전 공격(Dictionary Attack)에 취약한 케이스가 대부분으로 추정된다. 공격자 또는 악성코드는 외부에 노출된 MS-SQL 서버를 스캐닝하고 무차별 대입 공격이나 사전 공격을 통해 MS-SQL에 관리자 계정으로 로그인한 후 xp_cmdshell과 같은 명령을 이용해 악성코드를 설치한다. 이에 따라 이전 블로그에서는 MS-SQL 서버 프로세스 즉 sqlservr.exe에 의해 설치되는 코발트 스트라이크 악성코드를 다루었다. – [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로…