특정 군부대 유지보수 업체 대상으로 AppleSeed 유포 Posted By ASEC , 2022년 7월 21일 ASEC 분석팀은 최근 특정 군부대 유지보수 업체 대상으로 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed 악성코드는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 최근 여러 대상을 타깃으로 활발히 유포하고 있다. 이번에는 특정 군부대의 이름이 담긴 아래와 같은 파일명으로 악성코드 유포가 이루어졌다. 20220713_****부대_설치 예상 일정V004_***시스 수정_6.xls 최초 엑셀 문서 형태(XLS)로 유포가 이루어졌으며, 백신을 우회하기 위해서인지 엑셀 파일은 암호로 보호되고 있다. 해당 문서 파일을 실행하면 [그림 2]와 같이 콘텐츠 사용 버튼을 클릭하도록 유도하는 내용이 쓰여있으며, 콘텐츠 사용 버튼을 클릭하면 매크로에 의하여 [그림 3]으로 본문이…
ISO 파일을 통해 IcedID 유포 중 Posted By ASEC , 2022년 7월 20일 ASEC 분석팀은 ISO 파일을 통해 다양한 악성코드가 유포되고 있는 사례를 소개해왔다. 최근에는 ISO 파일을 통해 모듈형 뱅킹 악성코드인 IcedID 가 유포 중인 것을 확인하였다. 확인된 유형은 2가지로, 하나는 이전에 소개했던 Bumblebee 악성코드와 동일한 방식을 이용하였다. 나머지 유형 또한 비슷한 방식을 사용했지만, 스크립트 파일과 cmd 명령어가 추가된 형태이다. 먼저, 첫번째 유형은 IcedID 가 실행되는 과정 및 유포되는 과정이 이전에 소개한 Bumblebee 악성코드와 모두 동일하다. 정상 메일을 가로채는 이메일 하이재킹을 이용하였으며, 아래와 같이 악성 파일을 첨부 후 사용자에게 회신하였다. 악성 파일은 압축…
매그니베르(Magniber) 랜섬웨어 변경(*.msi -> *.cpl) – 7/20일자 Posted By ASEC , 2022년 7월 20일 2022년 2월부터 매그니베르 랜섬웨어는 IE 브라우저 취약점이 아닌 Windows 설치 패키지 파일(.msi) 형태로 유포되고 있었다. 유효한 인증서를 포함하고 있으며, MSI 파일 내부에 DLL 형태로 유포되는 상황에서 7/20(수)부터는 MSI 파일이 아닌 CPL 확장자(Windows Control Panel Item)로 유포되는 것이 확인되었다. 위 그림과 같이 기존 MSI 파일 유포 현황이 감소하고 있는 것을 보아, 매그니베르 랜섬웨어 공격자는 MSI파일에서 CPL파일 유포로로 전환한 것을 확인할 수 있다. (2022/07/19) MS.Upgrade.Database.Cloud.msi(2022/07/20) MS.Upgrade.Database.Cloud.cpl (Chrome 브라우저)(2022/07/20) MS.Upgrade.Database.Cloud.zip (Edge 브라우저) Chrome 브라우저이 경우 cpl파일 그대로 다운로드되고 있으나, Edge브라우저의 경우 cpl파일 다운로드가…
ASEC 주간 악성코드 통계 (20220711 ~ 20220717) Posted By ASEC , 2022년 7월 19일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 7월 11일 월요일부터 7월 17일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 52.2%로 1위를 차지하였으며, 그 다음으로는 백도어 악성코드가 26.8%, 다운로더 19.7%, 뱅킹 0.6%, 랜섬웨어 0.6%로 집계되었다. Top 1 – Agent Tesla 인포스틸러 악성코드인 AgentTesla가 29.9%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며 FTP나…
취약한 Atlassian Confluence 서버를 대상으로 하는 공격 사례 Posted By ASEC , 2022년 7월 15일 ASEC 분석팀에서는 취약한 시스템들을 대상으로 하는 공격을 모니터링하고 있다. 여기에서는 패치되지 않은 취약한 아틀라시안 컨플루언스(Atlassian Confluence) 서버를 대상으로 공격하는 사례를 소개한다. 아틀라시안 사의 컨플루언스는 대표적인 협업 플랫폼으로서 전 세계 많은 기업이 업무에 활용하고 있다. 컨플루언스는 웹 기반 플랫폼으로서 프로젝트 관리 및 협업과 같은 서비스는 실질적으로 컨플루언스 서버(또는 컨플루언스 데이터 센터)를 통해 제공된다. 다수의 기업들에서 사용되는 유명한 솔루션이다 보니 과거부터 꾸준히 취약한 컨플루언스 서버 및 데이터 센터를 대상으로 하는 취약점들이 발견되고 있으며 공격자들에 의해 패치되지 않은 시스템들이 공격 대상이 되고 있다….
