진단 회피를 목적으로 교묘하게 조작된 워드파일 유포 (External+RTF) Posted By ASEC , 2022년 11월 3일 MS Office Word 문서의 External 외부 연결 접속을 가능한 점을 이용하여, 추가적인 RTF 악성코드를 유포하는 악성 워드파일은 꽤 오래전부터 지속적으로 확인되어왔다. 하지만, 최근 안티바이러스 제품의 진단을 회피하기 위한 것으로 추정되는 파일들이 국내에 다수 유포되는 정황이 확인되어 이를 알리고자 한다. 업무상 목적으로 위장한 이메일에 워드파일을 첨부한 것은 크게 다르지 않으나, OOXML(Office Open XML) 포맷 내부에서 확인할 수 있는 webSettings.xml.rels 파일에서 특이점이 존재한다. 아래와 같이 문서 실행 시 자동으로 연결되는 External URL은 그동안 유포되던 일반적인 형태의 URL이 아님을 알 수 있다. 해당…
ASEC 주간 악성코드 통계 (20221024 ~ 20221030) Posted By ASEC , 2022년 11월 1일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 10월 24일 월요일부터 10월 30일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 43.2%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 34.7%, 백도어 19.4%, 랜섬웨어 2.2%로 집계되었다. Top 1 – Agent Tesla 인포스틸러 악성코드인 AgentTesla가 22.1%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일(SMTP)을 활용하며 FTP나 Discord API 등을…
Gwisin 랜섬웨어 공격자의 침투 및 배포 방법 Posted By ASEC , 2022년 11월 1일 Gwisin 랜섬웨어 공격자는 외부에 공개돼 있는 피해 업체의 서버에 침투한 후 해당 서버를 거점으로 내부 인프라에 랜섬웨어를 배포하는 방식을 사용한다. 내부 인프라에 랜섬웨어 배포를 위해 SFTP, WMI, 통합관리솔루션, IIS 웹 서비스 등 다양한 방법을 사용하는 것으로 알려져 있는데, 이번에 확인된 사례에서는 IIS 웹 서비스를 통해 배포한 것으로 확인됐다. 공격자는 어떤 방법으로 서버에 침투하는가? 스피어 피싱이나, 워터링 홀 등의 방법을 통해 단말 사용자의 PC를 장악하고 관리자 권한을 획득해 기업 내부 네트워크의 시스템들에 랜섬웨어를 전파하고 실행시키는 최근의 악성코드 감염 방식과 달리 Gwisin 랜섬웨어는…
Amadey Bot을 이용한 LockBit 3.0 랜섬웨어 유포 중 Posted By Sanseo , 2022년 10월 31일 ASEC 분석팀에서는 최근 Amadey 봇 악성코드가 LockBit 랜섬웨어를 설치하는 데 사용되고 있는 것을 확인하였다. Amadey Bot은 2018년경부터 확인되는 악성코드로서 공격자의 명령을 받아 정보 탈취나 추가 악성코드를 설치할 수 있다. 일반적인 악성코드들처럼 Amadey 또한 불법 포럼 등을 통해 판매되고 있으며, 이에 따라 현재까지도 다양한 공격자들에 의해 사용되고 있다. Amadey는 과거 GandCrab 랜섬웨어 공격자들에 의해 랜섬웨어를 설치하는 데 사용되거나, Clop 랜섬웨어로 유명한 TA505 그룹에 의해 FlawedAmmyy를 설치하는 데 사용되었다. 이외에도 최근에는 국내 유명 메신저 프로그램으로 위장하여 유포된 이력이 있다. LockBit 랜섬웨어를 설치하는데…
Surtr 랜섬웨어 국내 유포 중 Posted By ASEC , 2022년 10월 28일 ASEC 분석팀은 최근 내부 모니터링을 통해, 파일 암호화 후 원본 확장자 이름에 “[DycripterSupp@mailfence.com].[<랜덤문자열>].Surtr” 확장자를 추가하는 Surtr 랜섬웨어가 유포되는 것을 확인하였다. Surtr 랜섬웨어 감염 시, [그림 1, 2]와 같이 감염된 PC의 배경화면 변경 및 랜섬노트 생성을 통해, 사용자에게 랜섬웨어 감염 사실을 주지시키며, [그림 3]과 같이 감염된 파일이 존재하는 폴더마다 랜섬노트 파일(SURTR_README.hta 및 SURTR_README.txt) 을 생성하는 특징이 있다. Surtr 랜섬웨어는 실질적인 파일 암호화 수행 전, 해당 파일이 실행되는 국가의 IP 주소 확인, 프로세스 리스트 확인 및 서비스 종료 등의 작업을 수행하는 특징이 있다….
