Qakbot 악성코드 국내 유포 중

ASEC 분석팀은 지난 9월에 소개했던 Qakbot 악성코드가 국내 사용자를 대상으로 유포 중인 것을 확인하였다. ISO 파일을 이용한 점을 포함한 전체적인 동작 과정은 기존과 유사하지만, 행위 탐지를 우회하기 위한 과정이 추가되었다. 먼저, 국내 사용자를 대상으로 유포된 이메일은 아래와 같다. 해당 메일은 기존 정상 메일을 가로채 악성 파일을 첨부하여 회신한 형태로, 이전에 블로그를 통해 소개했던 Bumblebee 와 IceID 의 유포 과정과 동일하다. 사용자는 이전 메일 내용이 포함되어 있어 정상적인 회신 메일로 착각할 수 있다. 최근 이와 같은 이메일 하이재킹 방식이 증가하고 있는…

취약한 아파치 톰캣 웹 서버를 대상으로 설치되는 코인 마이너 악성코드

ASEC 분석팀에서는 최근 취약한 아파치 톰캣 웹 서버를 대상으로 하는 공격을 확인하였다. 최신 업데이트가 되지 않은 톰캣 서버는 대표적인 취약점 공격 벡터 중 하나이다. 과거에도 ASEC 블로그에서 취약한 JBoss 버전이 설치된 아파치 톰캣 서버를 대상으로 한 공격을 소개한 바 있다. 공격자는 취약점 공격 도구인 JexBoss를 이용해 웹쉘을 설치한 후 미터프리터 악성코드로 감염 시스템에 대한 제어를 획득하였다. 일반적으로 공격자들은 스캐닝 결과 취약한 버전을 갖는 웹 서버가 확인되면 버전에 맞는 취약점을 이용해 웹쉘을 설치하거나 악성 명령을 실행한다. 참고로 IIS 윈도우 웹 서버에서는…

.NET 외형의 FormBook 악성코드 유포 중

안랩 V3 제품에는 악성코드 위협으로부터 사용자를 보호하기 위한 다양한 탐지 기능이 있다. 이 중 ‘앱 격리 검사 (App Isolate Scan)’ 기능은 의심 프로세스에 대한 탐지 및 격리를 제공하는 기능으로서, 랜섬웨어 외 인포스틸러나 다운로더 등의 악성코드를 가상 환경에 격리하여 탐지할 수 있다. 안랩 ASD 인프라에 아직 수집되지 않았거나 악성코드의 정적, 동적 행위 패턴이 확인되지 않은 악성코드를 선제적으로 격리하여 사용자를 보호할 수 있는 장점이 있다. 아래 소개하는 FormBook(폼북) 악성코드는 사용자가 웹 브라우저 이용 도중 시스템에 다운로드 되어 실행된 악성코드이다. 이후 V3 제품의…

국내 유명 메신저 프로그램으로 위장하여 유포 중인 Amadey Bot

2022년 10월 17일인 오늘, KISA로부터 ‘카카오 서비스 장애 이슈를 악용한 사이버 공격에 대한 주의 권고’ 보안 공지가 게시되었는데, 해당 내용에 따르면 이메일을 통해 카카오톡 설치파일(KakaoTalkUpdate.zip 등)로 위장하여 유포되고 있음을 알 수 있다. ASEC 분석팀은 관련 샘플을 모니터링하는 과정에서 해당 류로 보이는 파일을 확보하였다. 해당 악성코드는 유포되는 파일명과 아이콘이 실제 메신저 프로그램과 동일하여 일반 사용자들로 하여금 실행을 유도한다. 메일에 첨부되었을 것으로 보이는 kakaotalk_update.exe 악성코드 초기 실행 시, 해당 프로세스를 재귀 실행하여 자기 자신 프로세스에 인젝션한다. 인젝션 된 프로세스는 C2 서버에 접속하여,…

빠르게 변화하고 있는 매그니베르(Magniber) 랜섬웨어

매그니베르(Magniber) 랜섬웨어는 최근 빠르게 변화하고 있다. 확장자 변경부터, 인젝션, UAC 우회 기법까지 최근 매그니베르 랜섬어는 백신의 탐지를 회피하기 위해 빠르게 변형을 보이고 있다. 본 내용에서 기존에 파악되었던 분석내용을 통해 최근 몇 달간 매그니베르(Magniber) 랜섬웨어의 변화를 정리하였다. [표 1]은 매그니베르(Magniber) 랜섬웨어의 날짜별 유포 파일의 주요 특징이다. 4개월간 msi, cpl, jse, js, wsf 5가지 확장자로 유포되었고, 최근 들어 9월은 4차례(cpl -> jse -> js -> wsf -> msi)의 잦은 확장자 변경이 이루어졌다. 날짜 확장자 실행 프로세스 암호화 프로세스 복구 환경 비활성화프로세스 복구…