스팸 메일을 통해 유포 중인 스네이크 키로거 (Snake Keylogger)

최근 스팸 메일을 이용한 스네이크 키로거 (Snake Keylogger)의 유포가 급증하고 있다. Snake Keylogger는 닷넷으로 만들어진 정보 유출 악성코드로써, 아래의 주간 통계에서도 확인되듯이 최근들어 Top 5 순위에도 꾸준히 포함되고 있다. 주로 스팸 메일을 통해 유포되는 정보 유출 악성코드라는 점에서 AgentTesla 악성코드와 유사한 점이 많다. Snake Keylogger도 AgentTesla처럼 메일 즉 SMTP 프로토콜을 이용한 정보 유출 기능을 지원한다. 악성코드를 첨부한 스팸 메일을 통해 유포되는 악성코드들로는 AgentTesla 외에도 Lokibot, Formbook, AveMaria, Remcos 같은 인포스틸러 및 RAT 악성코드들이 있다. 다음은 유포에 사용된 스팸 메일 사례이며,…

대북관련 질의서 제목의 한글문서(HWP) 유포

ASEC분석팀에서는 최근들어 대북관련 본문 내용을 담고 있는 악성 워드(WORD) 파일 유포가 증가하여 해당 내용에 대해 공유하였으나, 오늘은 대북관련 질의서 내용의 악성코드가 한글문서(HWP)의 형태로 유포되고 있는 정황을 포착하였다. 한글문서 내용을 보면 국내 방송사에서 2020년 12월 15일 북한관련 토론 질문지로 사용된 문서가 악성코드 제작자에 의해 수정된 것으로 추정된다. 이 악성 한글 파일은 이전에도 공유 된적 있는 기법인 ‘링크 개체’를 포함하고있는데, 개체를 삽입한 경로정보(C:\Users\Snow\AppData\Local\Temp)를 통해 Snow 이름의 컴퓨터 이름을 갖는 시스템에서 해당 문서가 제작된 것으로 추정된다. 문서 제목 : 질의서-12월15일.hwp  문서 내용 위…

ASEC 주간 악성코드 통계 ( 20210329 ~ 20210404 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 3월 29일 월요일부터 2021년 4월 4일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 78.1%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 13.5%, 다운로더와 Coin Miner 가 3.9%, 뱅킹 악성코드와 랜섬웨어가 0.3%로 집계되었다. Top 1 –  AgentTesla AgentTesla는 34.9%로 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한 정보 유출 시…

군사안보 월간지(4월호) 위장한 악성 워드문서 유포 중

ASEC 분석팀은 지난 3월 22일, 대북관련 내용을 포함하고 있는 악성 DOC(워드) 문서에 대해 소개하였다. 해당 유형은 문서 내부 XML 파일에 작성된 “외부 External 연결 주소” 로 접속하여 추가 파일을 다운로드 받는 구조이다. 최근 해당 방식을 이용한 악성 워드문서가 유포 중임을 포착하였으며, 군사안보 월간지 (4월호) 를 위장하였다. 현재 유포 중인 파일명은 아래와 같다. 월간KIMA2021_4월호군사안보0330.docx 월간KIMA2021_4월호군사안보0331.docx 문서 파일은 실행 시 본문 내용이 보호되어 있는 상태이며, 보호 해제 시 다음과 같은 본문 내용을 확인할 수 있다. 해당 문서에서 접속하는 악성 External 주소는 아래와…

탐지 우회 방법으로 무장한 Dridex 악성코드 유포방식 분석

Dridex (또는 Cridex, Bugat)는 대표적인 금융 정보 유출형 악성코드이다. 사이버범죄 조직에 의해 글로벌로 대규모로 유포되고 있으며, 주로 스팸메일에 포함된 Microsoft Office Word나 Excel 문서 파일의 매크로를 이용한다. Dridex 악성코드의 가장 큰 특징으로는 다운로더, 로더, 봇넷 등 기능에 따라 파일을 모듈화하여 동작한다는 점이다. 이로 인해 Dridex 악성코드를 이용하여 DoppelPaymer 나 BitPaymer와 같은 랜섬웨어가 유포된 이력도 확인되었다. Dridex 악성코드를 제작 및 유포하는 공격 그룹과 랜섬웨어를 유포하는 공격 그룹이 코드나 유포 방식을 보아 상당 부분 겹친다는 정황도 확인되었다.[1][2][3] ASEC 분석팀은 스팸메일과 Microsoft Offce…