취약한 MS-SQL 서버를 대상으로 유포 중인 코인 마이너

ASEC 분석팀은 취약한 MS-SQL 서버를 대상으로 유포되는 악성 코드들을 지속해서 모니터링하고 있다. 이전 블로그에서는 CobaltStrike와 Remcos RAT이 유포된 사례를 다루었지만, 실제 확인되고 있는 공격의 상당 수는 코인 마이너 악성코드이다. – [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 (2) 여기에서는 작년부터 최근까지 꾸준히 유포되고 있으며 동시에 높은 비율을 차지하고 있는 특정 유형의 코인 마이너 악성코드에 대해서 다룬다. 자사…

ASEC 주간 악성코드 통계 ( 20220214 ~ 20220220 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 2월 14일 월요일부터 2월 20일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 74.5%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 17.4%, 뱅킹 악성코드 3.9%, 다운로더 2.1%, 랜섬웨어 2.1% 로 집계되었다. Top 1 –  AgentTesla 이번주도 AgentTesla가 34.8%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을…

견적서 위장 악성코드 유포 방식의 변화 (VBS 스크립트)

ASEC 분석팀은 지난해 특정 업체의 이름이 포함된 파일명으로 유포된 Formbook 악성코드가 최근 VBS 파일을 통해 유포되고 있음을 확인하였다. 유포가 확인된 메일에는 여전히 견적서 요청 관련 내용을 담고 있으며, 첨부파일명에 특정 회사의 이름이 포함되어 있어 사용자가 첨부파일을 실행하도록 유도한다. 견적서/발주서 제목의 정보유출 악성코드(Formbook) 주의! (21.02.04) 메일에 첨부된 압축파일에는 실행 파일이 아닌 VBS 파일이 존재한다. 해당 악성 파일은 동일한 업체 명에 유포 날짜만 다르게 한 파일명으로 유포되고 있는 것으로 확인된다. 현재 유포가 확인된 파일명은 아래와 같다. 한*산업개발(2022.02.03).pdf.vbs 한*산업개발(2022.02.04).pdf.vbs 한*산업개발(2022.02.07).pdf.vbs 한*산업개발(2022-02-10).pdf.vbs 한*산업개발(2022.02.16).pdf.vbs 한*산업개발(2022.02.17).vbs…

신종 정보 탈취 악성코드 “ColdStealer” 유포 중

ASEC 분석팀은 신종 악성코드로 추정되는 ColdStealer가 유포 중임을 확인하였다. 해당 유포는 기존 블로그에서 수차례 언급하였던 크랙 및 툴 등의 S/W 다운로드로 위장한 방식이다. 이러한 방식의 악성코드 유포에는 두 가지 케이스가 존재하는데 1. CryptBot, RedLine 등의 단일 악성코드를 유포하는 케이스와,2. 내부 다양한 여러 악성코드가 압축 해제되어 실행되는 드로퍼형 악성코드이다. ColdStealer의 경우 후자의 방식으로 유포되었다. 이러한 악성코드 유포 케이스는 아래 블로그를 참고하길 바란다. S/W 다운로드 위장, 다양한 종류의 악성코드 유포 드로퍼 악성코드 내부에 다운로더 악성코드가 존재하고, 해당 다운로더 악성코드가 실행될 경우 C2로부터…

취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 (2)

지난 2월 14일 ASEC 분석팀은 취약한 MS-SQL 서버를 통해 코발트 스트라이크가 유포됨을 공유하였다. 이번 사례는 당시 유포 방식과 다른 프로세스 트리 구조를 갖는 형태의 코발트 스트라이크를 유포하는 정황을 확인하였다. 확인된 유포 방식은 MS-SQL 서버 관련 프로세스인 sqlservr.exe가 취약점에 의해 cmd.exe를 실행하는 것 까지는 동일하나, 이후 mshta.exe와 rundll32.exe를 이용하여 메모리 상에서 파일리스 형태로 코발트 스트라이크를 실행하는 점이 다르다. 공격자는 MS-SQL 취약점에 의해 실행된 cmd.exe를 통해 mshta.exe 프로세스를 실행하였다. mshta.exe는 정상 윈도우 유틸리티로써 Java 스크립트, Visual Basic 스크립트 실행 및 URL을 직접…