20대 대통령선거 선상투표 보도자료 가장한 악성 한글문서 유포

대선을 앞두고 ASEC 분석팀은 “20대 대통령선거 선상투표 보도자료”를 가장한 악성 한글 문서가 유포중임을 확인하였다. 공격자는 02/28일 악성 한글 문서를 유포하였으며 해당 악성 문서는 확보되지 않았지만, 자사 ASD(AhnLab Smart Defense) 인프라 로그에 따르면 내부 OLE 개체를 통해 배치파일을 구동하여 파워쉘을 실행하는 형태로 추정된다. 유포 파일명: 보도자료(220228)_3월_1일___3월_4일_제20대_대통령선거_선상투표_실시(최종).hwp [그림 1]은 인프라에 확인된 배치 파일 경로와 한글 파일명이다. 동일한 정상 한글 문서 크기가 2.06MB인 반면에 악성 한글문서는 2.42MB로 내부에 추가 BAT 파일 삽입을 통해 문서가 제작된 것으로 보인다. %TEMP%\mx6.bat (배치파일 생성 경로) 이와 유사한…

ASEC 주간 악성코드 통계 ( 20220221 ~ 20220227 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 2월 21일 월요일부터 2월 27일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 77.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 15%, 다운로더 2.9%, 랜섬웨어 2.1%, 뱅킹 악성코드 1.7%, 백도어 0.4% 로 집계되었다. Top 1 – Formbook 이번주는 인포스틸러 악성코드인 Formbook이 30%로 1위를 기록하였다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. mv ERATO.exe…

웹하드를 통해 유포 중인 njRAT

웹하드는 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다. 최근에는 UdpRat이나 GoLang으로 개발된 DDoS IRC Bot 등 다양한 형태가 사용되고 있지만, 과거에는 아래와 같이 njRAT이 다수의 공격에서 사용되어 왔다. 국내 유명 웹하드를 통해 유포되는 njRAT 악성코드 파일 공유 사이트(성인물) 통해 유포 중인 Korat 백도어 웹하드와 토렌트를 통해 유포 중인 njRAT ASEC 분석팀에서는 최근 웹하드를 통해 유포 중인 njRAT 악성코드를 확인하여 블로그에서 소개하려고…

세금계산서로 가장하여 유포되는 Remcos RAT 악성코드

ASEC 분석팀은 세금계산서로 가장한 Remcos RAT 악성코드가 유포되는 정황을 확인하였다. 피싱메일의 내용과 유형은 기존에 본 블로그를 통해 지속적으로 공유했던 형태와 크게 다르지 않다. 메일 본문에는 어색한 문법으로 쓰여진 짧은 메세지가 포함되어있다. 다만 관련업무를 하고있을경우 메일 내용에는 크게 개의치않고 무심코 첨부파일을 실행할 가능성이 있으므로 주의가 필요하다. 첨부파일인 ‘Tax.gz’ 파일을 압축해제하면 ‘Tax.com’ 이라는 실행파일이 존재하며, 디버깅하여 파일 내부를 확인해보면 아래와 같은 코드를 확인할 수 있다. 만약 실행환경이 64비트 환경이라면 ‘hxxp://zhost.polycomusa[.]com/Chrimaz.exe’ 에서 해당 환경에 적합한 악성파일(1df2bf9313decafd0249d6a4556010bc)을 내려받아 실행하며, 그렇지 않을 경우 ‘3xp1r3Exp.ps1’ 이라는…

정상 윈도우 인스톨러(MSI)로 위장한 매그니베르 유포 재개 (2/22)

ASEC 분석팀은 어제 (02/22) 오전 매그니베르 랜섬웨어가 기존 윈도우앱(APPX) 형태가 아닌 정상 윈도우 인스톨러(MSI)로 위장하여 유포를 재개한 것을 확인하였다. MSI 확장자로 유포중인 매그니베르의 파일명은 아래와 같이 윈도우 업데이트 파일로 위장하였다. Critical.Update.Win10.0-kb4215776.msi Critical.Update.Win10.0-kb6253668.msi Critical.Update.Win10.0-kb5946410.msi MSI 패키지 파일은 정상적인 윈도우 업데이트에도 사용되는 일종의 설치 프레임워크이다. 매그니베르는 MSI 패키지 파일 내부에 매그니베르 랜섬웨어 DLL을 포함하여 유포하였다. MSI는 Custom Action 테이블을 통해 DLL의 익스포트 함수 호출 기능을 기본적으로 제공한다. 매그니베르 공격자는 이점을 악용하여 MSI 실행 시 매그니베르 랜섬웨어 DLL의 익스포트 함수가 실행되도록 하였다. 실행된…