다양한 공격자들에 의해 사용되는 SystemBC 악성코드

SystemBC는 수년 전부터 다양한 공격자들에 의해 사용되고 있는 Proxy 악성코드이다. 최근에는 SmokeLoader나 Emotet을 통해 유포되고 있는 것이 확인되지만, 과거부터 꾸준히 여러 랜섬웨어 공격에서 사용된 사례들이 존재한다. 공격자가 악의적인 목적으로 특정 주소에 접근하려고 할 때, 감염된 시스템에서 Proxy Bot으로 동작하는 SystemBC를 활용할 경우 해당 시스템을 통로로서 활용할 수 있다. 이외에도 외부에서 추가 악성코드를 설치할 수 있는 다운로더 기능이 존재하기 때문에, 공격자는 추가 페이로드를 설치하는 수단으로서도 SystemBC를 활용 가능하다. 과거 유포 사례 SystemBC는 2019년 RIG 익스플로잇 킷과 Fallout 익스플로잇 킷을 통해 유포되었던…

코로나 확진 안내문으로 사칭한 악성 도움말 파일 국내 유포

ASEC 분석팀은 2주 전, 윈도우 도움말 파일(*.chm) 형식의 악성코드에 대해 소개하였다. 금일 추가로 확인된 악성 chm 파일은 코로나 확진 안내문을 사칭한 형태로 국내 사용자를 대상으로 유포되고 있다. 코로나 확진자가 다수 발생하는 시기를 노려 관련 내용을 포함하여 유포되고 있는 것으로 보인다. 현재 유포되고 있는 파일명은 아래와 같으며, 악성 chm 파일을 실행 시 추가 악성 파일을 실행한다. 이때 사용자 PC 화면에는 코로나 확진 안내문 창이 생성되어 악성 파일이 실행된 것을 인지하기 어렵도록 한다. 유포 파일명확진자 및 동거인 안내문 (50).chm 또한, 안내문에 포함된…

MS Media Player 이용한 악성 워드문서 (안랩사칭)

ASEC 분석팀은 지난주 “기업 사용자 타겟의 악성 워드 문서 유포 중“에서 작성한 유형의 악성 워드 문서가 안랩을 사칭하는 문구를 포함하여 유포되고 있음을 확인하였다. 이번에 확인된 워드 문서는 External 연결을 통해 악성 VBA 매크로가 포함된 워드 문서를 다운로드 받아 실행하는 방식으로 동작한다. 또 다른 차이점은 추가로 다운로드된 워드 문서에서 악성 VBA 매크로를 자동으로 실행하기 위해 기존의 AutoOpen() 함수가 아닌 Windows Media Player() 함수를 이용하였다는 점이다. 이는 AutoOpen() 함수 기반의 매크로 자동 실행을 탐지하는 보안 제품을 우회하기 위한 시도로 추정된다. 확인된 문서의…

울진 산불 피해 기부 영수증으로 위장한 워드 문서 APT 공격 (Kimsuky)

지난 3월 초 울진, 삼척 일대에 큰 산불이 발생하여 피해 복구 및 이재민을 돕기 위해 전국 각지에서 기부 행렬이 이어졌다. 이러한 상황에서 ASEC 분석팀은 공격자가 울진 산불 피해 기부 영수증 워드문서로 위장해 APT 공격을 시도하는 것을 포착하였다. 해당 문서의 작성 일시는 3월 28일이며 제작자는 기존 ASEC 블로그를 통해 공개한 제작자 이름(Acer)과 일치한다. 공격 기법과 생성되는 파일의 기능은 기존 블로그 내용과 동일하나, 이번 공격에서의 차이점은 매크로 실행 시 생성되는 배치 파일명이 다르다. 해당 배치파일은 moster.bat으로 유포되었으며 기능은 이전 블로그의 “error.bat”과 일치한다….

탈북자 이력서 양식을 가장한 APT 공격 (VBS 스크립트)

ASEC 분석팀은 최근 대북 관련 내용의 피싱 메일을 통해 정보 유출 목적의 악성 VBS가 유포되고 있음을 확인하였다. 대북 관련 방송의 섭외 내용을 담고 있으며 압축 파일이 첨부되어 있다. 이력서 작성을 언급하여 첨부된 파일의 실행을 유도한다. 압축 파일 내부에는 악성 VBS 스크립트 파일이 존재한다. ‘2022 이력서 양식.vbs’ 파일의 간략한 행위는 다음과 같다. 정보 수집 및 전송 정상 한글 파일 생성 추가 악성 스크립트 파일 생성 및 작업 스케줄러 등록 VBS 파일 실행 시 아래의 명령어를 통해 사용자 PC의 정보를 수집한다. 수집…