정상 문서로 위장한 악성코드(kimsuky) Posted By yeeun , 2023년 2월 3일 ASEC 분석팀은 최근 <원고 청탁서로 위장한 악성코드 (안보 분야 종사자 대상)>에서 소개한 악성코드가 안보 분야 뿐만 아니라 방송 및 일반 기업들을 타겟으로 유포 중임을 확인하였다. 해당 악성 문서들은 모두 위 블로그 글에서 소개한 악성코드와 동일하게 템플릿 인젝션(Template Injection) 기법을 사용하고 있으며 악성 워드 매크로 문서를 다운로드 받아 실행한다. 확인된 유포 파일명은 다음과 같다. [kbs 일요진단]질문지.docx 임** 자기소개서.docx app-planning – copy.docx 공격자는 악성 매크로 코드가 실행될 수 있도록 매크로 실행을 유도하는 이미지를 사용하였다. 해당 이미지는 과거부터 꾸준히 사용하고 있으며 모두 동일한 공격자로 추정된다….
LockBit 2.0 랜섬웨어 이력서 위장으로 지속 유포 중 Posted By kwonxx , 2023년 2월 3일 ASEC 분석팀은 이전에 수차례 소개한 Lockbit 2.0 랜섬웨어가 기존에 소개한 방식인 NSIS 형태가 아닌 MalPE 형태로 유포되고 있음을 확인하였다. MalPE 형태는 실제 악성코드의 분석을 방해하는 패킹 방식의 일종이며, 내부 쉘코드를 통해 PE파일을 복호화하여 실행한다. 랜섬웨어 모니터링을 통해 최근 1월 들어 LockBit 랜섬웨어의 유포가 증가한 것이 확인되었고, LockBit 랜섬웨어는 이전에 소개한 바와 같이 여전히 입사 지원서를 사칭한 파일명으로 유포중이다. 과거 파일명을 포함하여 새롭게 확인된 파일명들은 아래와 같다. “이_력_서[230124 경력사항도 같이 기재하였습니다 잘 부탁드립니다].exe”의 파일명으로 유포된 Lockbit 2.0 랜섬웨어는 MalPE 형태로 [그림…
ASEC 주간 피싱 이메일 위협 트렌드 (20230122 ~ 20230128) Posted By ASEC , 2023년 2월 3일 ASEC 분석팀에서는 샘플 자동 분석 시스템(RAPIT)과 허니팟을 활용하여 피싱 이메일 위협을 모니터링하고 있다. 본 포스팅에서는 2023년 01월 22일부터 01월 28일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례와 이를 유형별로 분류한 통계 정보를 제공한다. 일반적으로 피싱은 공격자가 사회공학 기법을 이용하여 주로 이메일을 통해 기관, 기업, 개인 등으로 위장하거나 사칭함으로써 사용자의 로그인 계정(크리덴셜) 정보를 유출하는 공격을 의미한다. 또한 피싱은 넓은 의미에서, 공격자가 각종 대상을 상대로 하는 정보 유출, 악성코드 유포, 온라인 사기 행위 등의 공격을 가능하게 하는 악의적인 속임수(technical subterfuge) 뜻한다….
AweSun 취약점 공격으로 유포 중인 Paradise 랜섬웨어 Posted By Sanseo , 2023년 2월 2일 ASEC 분석팀은 최근 Paradise 랜섬웨어가 유포되고 있는 것을 확인하였다. 공격자들은 중국 원격 제어 프로그램 AweSun에 대한 취약점 공격을 이용하는 것으로 추정된다. ASEC 분석팀에서는 과거에도 Sliver C2와 BYOVD 악성코드가 중국에서 개발된 원격 제어 프로그램인 Sunlogin의 취약점을 통해 유포 중인 것을 확인하여 공유한 바 있다. 1. AweSun 취약점 공격 Sliver C2 공격 사례를 모니터링하던 중 공격자들이 Sunlogin 외에도 AweRay 사의 AweSun 원격 제어 프로그램을 이용하여 Sliver C2를 설치하고 있는 것을 확인하였다. [1] AweSun에 대한 구체적인 취약점 공격 정보는 확인되지 않는다. 하지만 Sunlogin…
네이버 로그인화면으로 위장한 웹페이지 Posted By suuzzane , 2023년 2월 1일 ASEC 분석팀은 지난 1월 3일에 카카오의 로그인 페이지를 위장하여 특정인의 계정 정보를 취하려는 정황에 대해 소개한 바 있다. 카카오 로그인화면으로 위장한 웹페이지 공격자는 취약한 웹사이트를 이용하여 도메인을 생성하였었는데, 동일한 방식으로 네이버의 로그인 페이지를 위장한 내용이 확인되어 이를 알리고자 한다. 네이버 고객센터를 사칭하는 유형의 이메일과 해당 이메일을 통해 계정정보를 탈취하려는 웹페이지는 수 년 전부터 지속적으로 확인되어왔다. 다만, 최근에는 동일한 도메인을 활용하여 카카오 사칭 페이지에 이어 네이버 사칭 페이지까지 생성한 정황이 확인된 것이다. ‘비밀번호 재확인’ 페이지로 접속이 되는 것으로 보아, 사용자의…