울진 산불 피해 기부 영수증으로 위장한 워드 문서 APT 공격 (Kimsuky) Posted By ASEC , 2022년 3월 29일 지난 3월 초 울진, 삼척 일대에 큰 산불이 발생하여 피해 복구 및 이재민을 돕기 위해 전국 각지에서 기부 행렬이 이어졌다. 이러한 상황에서 ASEC 분석팀은 공격자가 울진 산불 피해 기부 영수증 워드문서로 위장해 APT 공격을 시도하는 것을 포착하였다. 해당 문서의 작성 일시는 3월 28일이며 제작자는 기존 ASEC 블로그를 통해 공개한 제작자 이름(Acer)과 일치한다. 공격 기법과 생성되는 파일의 기능은 기존 블로그 내용과 동일하나, 이번 공격에서의 차이점은 매크로 실행 시 생성되는 배치 파일명이 다르다. 해당 배치파일은 moster.bat으로 유포되었으며 기능은 이전 블로그의 “error.bat”과 일치한다….
탈북자 이력서 양식을 가장한 APT 공격 (VBS 스크립트) Posted By ASEC , 2022년 3월 29일 ASEC 분석팀은 최근 대북 관련 내용의 피싱 메일을 통해 정보 유출 목적의 악성 VBS가 유포되고 있음을 확인하였다. 대북 관련 방송의 섭외 내용을 담고 있으며 압축 파일이 첨부되어 있다. 이력서 작성을 언급하여 첨부된 파일의 실행을 유도한다. 압축 파일 내부에는 악성 VBS 스크립트 파일이 존재한다. ‘2022 이력서 양식.vbs’ 파일의 간략한 행위는 다음과 같다. 정보 수집 및 전송 정상 한글 파일 생성 추가 악성 스크립트 파일 생성 및 작업 스케줄러 등록 VBS 파일 실행 시 아래의 명령어를 통해 사용자 PC의 정보를 수집한다. 수집…
ASEC 주간 악성코드 통계 ( 20220321 ~ 20220327 ) Posted By ASEC , 2022년 3월 29일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 3월 21일 월요일부터 3월 27일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 75.4%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 16.7%, 다운로더 4.8%, 뱅킹 악성코드 2.4%, 랜섬웨어 0.8% 로 집계되었다. Top 1 – AgentTesla AgentTesla 악성코드는 25.4%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을…
기업 사용자 타겟의 악성 워드문서 유포 중 Posted By ASEC , 2022년 3월 25일 ASEC 분석팀은 기업 사용자를 타켓 한 것으로 추정되는 워드 문서를 확인하였다. 확인된 워드 문서는 다른 악성 문서와 마찬가지로 매크로 실행 유도하는 이미지가 존재한다. 또한, 정상 문서처럼 보이도록 하기 위해 매크로 실행 시 Google 계정 보안 강화와 관련된 내용이 노출되고 최종적으로 추가 악성코드 다운로드 및 사용자 정보 유출 행위를 수행한다. 확인된 악성 워드 문서 실행 시 경고창 이미지가 보여지며 ‘공공서식 한글에서 작성된 서식파일’이라고 언급하며 문서 내부에 존재하는 VBA 매크로 실행을 유도한다. 또한, 우측에 존재하는 메모를 통해 Microsoft 작성한 것처럼 보이도록 하였으며…
ASEC 주간 악성코드 통계 ( 20220314 ~ 20220320 ) Posted By ASEC , 2022년 3월 25일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 3월 14일 월요일부터 3월 20일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 70.0%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.8%, 다운로더 5.7%, 뱅킹 악성코드 3.6%, 코인 마이너와 백도어가 0.4%로 집계되었다. Top 1 – Formbook Formbook 악성코드는 26.3%로 1위를 기록하였다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. 아래의 리스트에서 굵은 글꼴로 표시된…