ASEC 주간 악성코드 통계 ( 20220411 ~ 20220417 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 4월 11일 월요일부터 4월 17일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 77.4%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 15.9%, 다운로더 5.4%, 뱅킹 악성코드가 0.8%, 랜섬웨어 0.4%로 집계되었다. Top 1 –  AgentTesla 이번주도 인포스틸러 악성코드인 AgentTesla 가 31%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출…

INITECH 프로세스를 악용하는 라자루스 공격 그룹의 신종 악성코드

안랩 ASEC 분석팀은 2022년 1분기에 방산 업체를 포함한 약 47개의 기업 및 기관이 라자루스 그룹에서 유포 중인 악성코드에 감염되고 있는 정황을 파악하고, 이를 심각하게 판단해 모니터링 하고 있다. 피해 업체들에서는 INITECH사 프로세스(inisafecrosswebexsvc.exe)에 의해 악성 행위가 발생되는 것이 확인됐다. 피해 시스템에서 inisafecrosswebexsvc.exe에 대해 다음과 같은 내용을 우선 확인했다.   inisafecrosswebexsvc.exe 파일은  INITECH사의 보안 프로그램인 INISAFE CrossWeb EX V3의 실행 파일이다. 정상 파일과 같은 해시값을 가진다. (MD5:4541efd1c54b53a3d11532cb885b2202) INITECH사에 의해 정상 서명된 파일이다. INISAFE Web EX Client로 침해 시점 이전부터 시스템에 설치되어 있었으며, 변조의…

ASEC 주간 악성코드 통계 ( 20220404 ~ 20220410 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 4월 4일 월요일부터 4월 10일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 74.1%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 15%, 다운로더 6.2%, 랜섬웨어 2.9%, 뱅킹 악성코드가 1.8%로 집계되었다. Top 1 –  AgentTesla 이번주도 인포스틸러 악성코드인 AgentTesla 가 27.7%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출…

ASEC 주간 악성코드 통계 ( 20220328 ~ 20220403 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 3월 28일 월요일부터 4월 3일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 69.6%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 21.0%, 랜섬웨어 5.1%, 다운로더 3.6%, 코인 마이너 0.7% 로 집계되었다. Top 1 –  AgentTesla AgentTesla 악성코드는 28.3%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을…

정상 엑셀파일 감염 기능의 Virus/XLS.Xanpei 바이러스 주의

최근 ASEC 분석팀은 엑셀문서 열람 시 바이러스 형태로 전파되는 악성코드들이 지속적으로 유포되고 있는 것을 확인하였다. 해당 악성코드는 정상 엑셀파일을 감염시키는 바이러스 기능뿐만 아니라, Downloader, DNS Spoofing 등의 추가적인 악성 행위를 수행하고 있어 사용자의 큰 주의가 필요하다. 해당 악성코드들은 공통적으로 엑셀파일 내부에 포함되어 있는 VBA(Visual Basic for Applications) 코드를 통해 바이러스 전파를 수행한다. 감염된 엑셀문서 실행 시 바이러스 전파를 위해, 바이러스 VBA 코드가 포함된 엑셀 문서를 엑셀 시작 경로에 드랍한다. 이후 임의의 엑셀 문서 실행 시, 엑셀 시작 경로에 드랍된 악성…