STOP 랜섬웨어 국내 유포 중 Posted By ASEC , 2022년 12월 8일 ASEC 분석팀은 STOP 랜섬웨어가 국내에 유포되고 있음을 확인하였다. 해당 랜섬웨어는 ASEC 주간 악성코드 통계 (20221128 ~ 20221204)에서 Top3를 차지하고 있을 정도로 다수 유포되고 있다. 최근 유포되는 파일은 SmokeLoader, Vidar와 같이 MalPe 외형을 지니는 것이 특징이다. 유포 파일명은 다음과 같이 4byte의 랜덤한 문자열을 지닌 것으로 확인된다. %SystemDrive%\users\[user]\appdata\local\temp\4316.exe %SystemDrive%\users\[user]\appdata\local\temp\8c21.exe %SystemDrive%\users\[user]\appdata\local\temp\a579.exe %SystemDrive%\users\[user]\appdata\local\[uuid]\2399.exe %SystemDrive%\users\[user]\appdata\local\[uuid]\1da9.exe 랜섬웨어 실행 시 먼저 hxxps://api.2ip.ua/geo.json에 접속하여 country code를 확인한다. 아래에 해당하는 경우에는 암호화를 수행하지 않는다. country code 국가 RU Russia BY Belarus UA Ukraine AZ Azerbaijan AM Armenia TJ Tajikistan…
Magniber 랜섬웨어의 유포 중단 (11/29 이후) Posted By ASEC , 2022년 12월 7일 안랩 ASEC 분석팀은 도메인 오탈자를 악용한 타이포스쿼팅(Typosquatting) 방식을 통해 활발하게 유포되는 대표적인 악성코드인 매그니베르(Magniber) 랜섬웨어의 유포를 지속적인 모니터링 과정을 통해 신속하게 대응하고 있다. 이와 같은 지속적 대응을 통해 11/29일자 기준으로 매그니베르 랜섬웨어의 유포 중단 현황을 포착하였다. 최근 매그니베르 랜섬웨어 제작자는 확장자 변경, 인젝션, UAC 우회 기법 등의 다양한 백신 탐지 회피를 위한 시도를 수행하였으며, 파일, 메모리, AMSI 진단 등을 비롯한 ASEC 분석팀의 지속적인 대응 과정을 거쳐, 10월 이후 MSI 확장자 형태로 유포 방식이 고착화되었다. 매그니베르 랜섬웨어 유포 방식의 변화(cpl -> jse…
Microsoft 계정 탈취 피싱 페이지는 진짜와 얼마나 비슷할까? Posted By ASEC , 2022년 12월 6일 국내외 많은 기업과 개인 사용자가 Microsoft 계정을 이용하여 Outlook, Office, OneDrive, Windows를 비롯한 Microsoft의 주요 서비스를 이용하고 있다. 사용자는 통합 로그인을 이용하여 계정과 연결된 모든 Microsoft 서비스에 편리하게 접속할 수 있다. 공격자 입장에서는 어떨까? 단 한 개의 계정을 이용하여 취할 수 있는 정보가 많기 때문에 더없이 좋은 공격 타깃이다. 특히 기업 내에서 민감 정보를 취급하는 사용자인 경우에는 Microsoft 계정으로 얻을 수 있는 정보가 이른바 ‘영양가’가 넘칠 것이다. 이와 같은 이유로 로그인 계정(Credentials) 유출 목적의 피싱 이메일 중 상당수가 Microsoft 계정을…
ASEC 주간 악성코드 통계 (20221128 ~ 20221204) Posted By ASEC , 2022년 12월 6일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 11월 28일 월요일부터 12월 4일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 34.8%로 1위를 차지하였으며, 그 다음으로는 다운로더가 28.2%, 백도어 21.1%, 랜섬웨어 14.6%, 코인마이너가 0.3%로 집계되었다. Top 1 – SmokeLoader Smokerloader는 인포스틸러 / 다운로더 악성코드이며 익스플로잇 킷을 통해 유포된다. 이번 주는 14.9%를 차지하며 1위에 올랐다. 익스플로잇 킷을 통해 유포되는 다른 악성코드와 마찬가지로 MalPe 외형을 갖는다. 실행되면 explorer.exe에 자기…
준정부기관을 사칭한 피싱 메일 유포 Posted By ASEC , 2022년 12월 5일 ASEC 분석팀은 최근 비영리 정부기관을 사칭한 피싱메일이 유포되고 있는 정황을 확인하였다. 중소벤처기업진흥공단(KOSME)에서 서비스하는 고비즈코리아(GobizKOREA)의 로그인 화면을 위장한 웹페이지를 사용하여 사용자의 로그인을 유도하기 때문에, 무역 분야에 종사하는 사용자들의 각별한 주의가 필요하다. 피싱메일의 제목 및 본문은 다음과 같다.메일 본문에는 바이어의 새로운 문의가 등록되었다는 내용이 있으며, 본문에 포함된 다섯개의 모든 하이퍼링크에는 고비즈코리아 로그인페이지를 위장한 링크가 연결되어있어서 어떤 하이퍼링크를 클릭하더라도 공격자가 의도한 페이지로 접속하는 것을 유도한다. 본문의 해당 하이퍼링크를 통해 웹페이지에 접속하면 아래와 같은 로그인 페이지가 확인된다. text 필드로 사용하는 input type의 style 태그가…
