매그니베르(Magniber) 랜섬웨어, 인젝션 방식의 변화 Posted By ASEC , 2022년 7월 6일 ASEC 분석팀은 높은 유포건수를 보이는 매그니베르(Magniber) 랜섬웨어를 꾸준히 모니터링하고 있다. 매그니베르 랜섬웨어는 최근 몇년간 IE 취약점을 통해 유포되었지만, IE(Internet Explorer)의 지원 종료시기를 기점으로 IE 취약점 유포를 중단하였다. 그리고 최근 매그니베르 랜섬웨어는 Edge, Chrome 브라우저에서 Windows 설치 패키지 파일(.msi)로 유포되고 있다. Windows 설치 패키지 파일(.msi) 로 유포되는 매그니베르 랜섬웨어는 [그림 1] 과 같이 하루에 수백 건 가량의 유포 로그가 리포트 되고있다. 매그니베르 랜섬웨어는 부적절한 광고 사이트 접속시 또는 정상 사이트와 유사하게 도메인 위장(타이포스쿼팅) 사이트 접속을 통해 [그림 2]와 같이 msi 다운로드 사이트로 리다이렉션…
ASEC 주간 악성코드 통계 ( 20220627 ~ 20220703 ) Posted By ASEC , 2022년 7월 5일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 6월 27일 월요일부터 7월 3일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 48.0%로 1위를 차지하였으며, 그 다음으로는 뱅킹 악성코드가 26.5%, RAT 12.5%, 다운로더가 8.2%, 랜섬웨어 2.2%, 코인마이너 1.8%, 백도어가 0.7%로 집계되었다. Top 1 – AgentTesla 인포스틸러 악성코드인 AgentTesla가 29.7%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시…
견적의뢰서 위장 피싱 메일로 유포 중인 GuLoader Posted By ASEC , 2022년 7월 1일 ASEC 분석팀에서 해당 블로그에 매주 업데이트 중인 주간 Top5 악성코드 키워드에 GuLoader가 2년만에 다시 랭크되었다. GuLoader는 추가 악성코드를 다운로드하는 다운로더 형태의 악성코드이며 다운로드 주소로 구글 드라이브가 자주 사용되어 해당 이름으로 명명되었다. ASEC 분석팀에서는 이 유형의 악성코드가 올 2022년 2분기 동안 유포된 Downloader 형의 악성코드 중 가장 많은 비중을 차지하고 있는 것으로 파악했으며 아래와 같이 피싱메일을 통해 유포되는 정황을 확인하였다. 이번에 확인된 케이스는 견적의뢰서를 위장하였으나 유포되는 파일명으로 보아 다양한 형태의 피싱 형태로 유포 중 일 것으로 보인다. [유포 파일명 일부] JP181222006.exe…
국내 의료기관의 취약한 서버를 대상으로 유포된 미터프리터(Meterpreter) Posted By ASEC , 2022년 7월 1일 ASEC 분석팀에서는 취약한 서버를 대상으로 유포 중인 악성코드를 모니터링 하던 중 국내 의료 기관에서 사용 중인 PACS(Picture Archiving and Communication System) 서버를 공격한 사례가 확인되었다. PACS(Picture Archiving and Communication System)는 환자의 의료 영상을 디지털로 관리하고 전송하는 시스템으로써 병원에서 의료 영상을 시공간 제한 없이 조회하고 판독하기 위해 사용하는 시스템이다. 따라서 현재 많은 병원에서 PACS를 사용하며, 이 PACS 시스템에는 여러 전문 업체가 있어 의료 기관에 따라 사용하는 PACS 제품이 다를 수 있다. 이번 확인된 사례는 ‘dcm4che‘라 불리는 JAVA 기반의 오픈 소스 애플리케이션을…
발주서, 품의서를 위장한 AppleSeed 유포 Posted By ASEC , 2022년 6월 30일 ASEC 분석팀은 최근들어 발주서, 품의서를 위장하여 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 시스템에 상주하면서 공격자의 명령을 받아 악성행위를 수행한다. 최근에는 아래와 같은 파일명으로 악성코드 유포가 이루어지고 있다. 발주서-**-2022****-001-국세청5개지방세무서차단센서 추가 도입_***.jse 품의서(***과장님).jse JSE(JScript Encoded File) 파일은 자바 스크립트로 되어있으며, 실행하면 아래와 같이 AppleSeed 백도어 본체(DLL 파일)와 미끼 문서 파일인 발주서 PDF 파일이 %ProgramData% 경로에 드롭되며, [그림 2]와 같이 발주서 PDF 파일이 자동으로 실행된다. 그 후, regsvr32.exe를 이용하여 AppleSeed 백도어 본체 파일을 디코딩 후 실행(보라색 음영…
