ASEC 주간 악성코드 통계 ( 20211025 ~ 20211031 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 10월 25일 월요일부터 2021년 10월 31일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 48.3%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 24.5%, 다운로더가 18.3%, 백도어 악성코드가 4.6%, 랜섬웨어가 4.1%, 뱅킹 악성코드가 0.2% 로 집계되었다. Top 1 –  BeamWinHTTP 17.5%로 1위를 차지한 BeamWinHTTP는 다운로더 악성코드이다. PUP 설치 프로그램으로 위장한 악성코드를 통해 유포되는데, BeamWinHTTP가 실행되면 PUP 악성코드인 Garbage Cleaner를…

유사한 도메인 형태의 External 링크를 사용하는 악성 워드 문서

최근 공격 정황들이 확인되고 있는 악성 워드(WORD)문서들은 대부분 매크로 형태이나 이번에 ASEC분석팀은 이 매크로 악성 워드를 실행시키기 위한 상위 공격 과정에서 C2가 살아있는 External 링크 워드를 이용한 케이스를 확인하였다. 이 방식은 과거 게시글에서도 설명한 바있으며 주로 대북관련 본문 내용의 악성 워드에서 사용했었다. 이전 블로그 : 대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서 이전 케이스와 같이 동일한 과정을 통해 동작하는 해당 악성 워드의 실행 흐름은 아래와 같다. 실행흐름 : 악성 XML(External 링크 연결)이 포함된 워드 실행 후 추가 악성…

CAPTCHA 화면이 있는 피싱 PDF 파일 대량 유포 중

올해 들어 CAPTCHA 화면이 있는 피싱 PDF 파일이 급격하게 대량 유포되고 있다. PDF 파일 실행 시 CAPTCHA 화면이 보이는데, 이는 실제 유효한 CAPTCHA는 아니다. 단순 이미지에 악성 주소로 리다이렉트 할 수 있는 링크가 연결되어 있다. 안랩 ASD 인프라에 수집된 관련 유형은 올해 7월 ~ 현재까지만 하더라도 약 150만 개이다. 대부분 국외 유포 위주로 보이고 이로 인한 국내 피해 건수는 높지 않은 것으로 보인다. 그동안 확인된 피싱 PDF 파일 유형은 화면 구성이나 동작 방식 등이 다양하였지만, 특정한 한 유형이 이렇게 대량으로…

대북 관련 본문 내용 악성 워드의 지속 유포 정황 확인

ASEC 분석팀은 대북관련 내용을 포함한 악성 워드 문서가 지속적으로 유포되고 있음을 확인하였다. 확인된 워드 파일에 포함된 매크로 코드는 이전에 게시된 < ‘수출용 골드바 매매 계약서’로 위장한 악성 워드문서> 에서 확인되었던 것과 유사하다. 최근 확인된 파일명은 아래와 같다. 중국의 군사전략 분석 및 미래 군사전략 전망.doc (10/25 확인) 질의서-12월 방송.doc (10/28 확인) 질의서-7월 방송.docm (10/1 확인) KF 대양주 차세대 정책전문가 네트워크_발제안내 (2).doc (10/7 확인) 210813_업무연락(사이버안전).doc (8월 확인) 확인된 파일 중 다수의 워드 문서에서 파일명 또는 본문에 대북 관련 내용을 담고 있는 것이…

기업 사용자 대상으로 Microsoft를 위장한 피싱 공격

ASEC 분석팀에서는 최근 기업 사용자 대상으로 Microsoft를 위장하여 피싱 공격을 하는 정황을 포착하였다. 피싱 메일은 아래 그림과 같이 Microsoft가 보낸 것처럼 위장하여 “계정 패스워드 만료 알림”이라는 제목으로 유포되고 있으며, 메일 내용에는 “해당 계정의 패스워드가 오늘 만료되어 해당 시간 이후 접근이 불가능하니 현재 사용하고 있는 비밀번호를 입력하여 Office365 계정에 접근할 수 있도록 해라”라는 문구가 적혀있다. “KEEP YOUR PASSWORD” 문구를 클릭하면 아래 그림과 같이 Microsoft 로그인 화면과 동일한 화면이 뜨며, 실제 Microsoft 로그인 하는 과정과 비슷하게 메일 주소는 이미 입력된 상태로 되어있어…