ASEC 주간 악성코드 통계 ( 20220221 ~ 20220227 ) Posted By ASEC , 2022년 3월 2일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 2월 21일 월요일부터 2월 27일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 77.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 15%, 다운로더 2.9%, 랜섬웨어 2.1%, 뱅킹 악성코드 1.7%, 백도어 0.4% 로 집계되었다. Top 1 – Formbook 이번주는 인포스틸러 악성코드인 Formbook이 30%로 1위를 기록하였다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. mv ERATO.exe…
웹하드를 통해 유포 중인 njRAT Posted By ASEC , 2022년 3월 1일 웹하드는 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다. 최근에는 UdpRat이나 GoLang으로 개발된 DDoS IRC Bot 등 다양한 형태가 사용되고 있지만, 과거에는 아래와 같이 njRAT이 다수의 공격에서 사용되어 왔다. 국내 유명 웹하드를 통해 유포되는 njRAT 악성코드 파일 공유 사이트(성인물) 통해 유포 중인 Korat 백도어 웹하드와 토렌트를 통해 유포 중인 njRAT ASEC 분석팀에서는 최근 웹하드를 통해 유포 중인 njRAT 악성코드를 확인하여 블로그에서 소개하려고…
세금계산서로 가장하여 유포되는 Remcos RAT 악성코드 Posted By ASEC , 2022년 2월 28일 ASEC 분석팀은 세금계산서로 가장한 Remcos RAT 악성코드가 유포되는 정황을 확인하였다. 피싱메일의 내용과 유형은 기존에 본 블로그를 통해 지속적으로 공유했던 형태와 크게 다르지 않다. 메일 본문에는 어색한 문법으로 쓰여진 짧은 메세지가 포함되어있다. 다만 관련업무를 하고있을경우 메일 내용에는 크게 개의치않고 무심코 첨부파일을 실행할 가능성이 있으므로 주의가 필요하다. 첨부파일인 ‘Tax.gz’ 파일을 압축해제하면 ‘Tax.com’ 이라는 실행파일이 존재하며, 디버깅하여 파일 내부를 확인해보면 아래와 같은 코드를 확인할 수 있다. 만약 실행환경이 64비트 환경이라면 ‘hxxp://zhost.polycomusa[.]com/Chrimaz.exe’ 에서 해당 환경에 적합한 악성파일(1df2bf9313decafd0249d6a4556010bc)을 내려받아 실행하며, 그렇지 않을 경우 ‘3xp1r3Exp.ps1’ 이라는…
정상 윈도우 인스톨러(MSI)로 위장한 매그니베르 유포 재개 (2/22) Posted By ASEC , 2022년 2월 23일 ASEC 분석팀은 어제 (02/22) 오전 매그니베르 랜섬웨어가 기존 윈도우앱(APPX) 형태가 아닌 정상 윈도우 인스톨러(MSI)로 위장하여 유포를 재개한 것을 확인하였다. MSI 확장자로 유포중인 매그니베르의 파일명은 아래와 같이 윈도우 업데이트 파일로 위장하였다. Critical.Update.Win10.0-kb4215776.msi Critical.Update.Win10.0-kb6253668.msi Critical.Update.Win10.0-kb5946410.msi MSI 패키지 파일은 정상적인 윈도우 업데이트에도 사용되는 일종의 설치 프레임워크이다. 매그니베르는 MSI 패키지 파일 내부에 매그니베르 랜섬웨어 DLL을 포함하여 유포하였다. MSI는 Custom Action 테이블을 통해 DLL의 익스포트 함수 호출 기능을 기본적으로 제공한다. 매그니베르 공격자는 이점을 악용하여 MSI 실행 시 매그니베르 랜섬웨어 DLL의 익스포트 함수가 실행되도록 하였다. 실행된…
취약한 MS-SQL 서버를 대상으로 유포 중인 코인 마이너 Posted By ASEC , 2022년 2월 22일 ASEC 분석팀은 취약한 MS-SQL 서버를 대상으로 유포되는 악성 코드들을 지속해서 모니터링하고 있다. 이전 블로그에서는 CobaltStrike와 Remcos RAT이 유포된 사례를 다루었지만, 실제 확인되고 있는 공격의 상당 수는 코인 마이너 악성코드이다. – [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 (2) 여기에서는 작년부터 최근까지 꾸준히 유포되고 있으며 동시에 높은 비율을 차지하고 있는 특정 유형의 코인 마이너 악성코드에 대해서 다룬다. 자사…