견적의뢰서 위장 피싱 메일로 유포 중인 GuLoader

ASEC 분석팀에서 해당 블로그에 매주 업데이트 중인 주간 Top5 악성코드 키워드에 GuLoader가 2년만에 다시 랭크되었다. GuLoader는 추가 악성코드를 다운로드하는 다운로더 형태의 악성코드이며 다운로드 주소로 구글 드라이브가 자주 사용되어 해당 이름으로 명명되었다. ASEC 분석팀에서는 이 유형의 악성코드가 올 2022년 2분기 동안 유포된 Downloader 형의 악성코드 중 가장 많은 비중을 차지하고 있는 것으로 파악했으며 아래와 같이 피싱메일을 통해 유포되는 정황을 확인하였다. 이번에 확인된 케이스는 견적의뢰서를 위장하였으나 유포되는 파일명으로 보아 다양한 형태의 피싱 형태로 유포 중 일 것으로 보인다. [유포 파일명 일부] JP181222006.exe…

국내 의료기관의 취약한 서버를 대상으로 유포된 미터프리터(Meterpreter)

ASEC 분석팀에서는 취약한 서버를 대상으로 유포 중인 악성코드를 모니터링 하던 중 국내 의료 기관에서 사용 중인 PACS(Picture Archiving and Communication System) 서버를 공격한 사례가 확인되었다. PACS(Picture Archiving and Communication System)는 환자의 의료 영상을 디지털로 관리하고 전송하는 시스템으로써 병원에서 의료 영상을 시공간 제한 없이 조회하고 판독하기 위해 사용하는 시스템이다. 따라서 현재 많은 병원에서 PACS를 사용하며, 이 PACS 시스템에는 여러 전문 업체가 있어 의료 기관에 따라 사용하는 PACS 제품이 다를 수 있다. 이번 확인된 사례는 ‘dcm4che‘라 불리는 JAVA 기반의 오픈 소스 애플리케이션을…

발주서, 품의서를 위장한 AppleSeed 유포

ASEC 분석팀은 최근들어 발주서, 품의서를 위장하여 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 시스템에 상주하면서 공격자의 명령을 받아 악성행위를 수행한다. 최근에는 아래와 같은 파일명으로 악성코드 유포가 이루어지고 있다. 발주서-**-2022****-001-국세청5개지방세무서차단센서 추가 도입_***.jse 품의서(***과장님).jse JSE(JScript Encoded File) 파일은 자바 스크립트로 되어있으며, 실행하면 아래와 같이 AppleSeed 백도어 본체(DLL 파일)와 미끼 문서 파일인 발주서 PDF 파일이 %ProgramData% 경로에 드롭되며, [그림 2]와 같이 발주서 PDF 파일이 자동으로 실행된다. 그 후, regsvr32.exe를 이용하여 AppleSeed 백도어 본체 파일을 디코딩 후 실행(보라색 음영…

원하지 않는 정보 그만 받고 싶어요!

정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 50조에 따르면 누구든지 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다. 스팸이란 정보통신망을 통해 이용자가 원하지 않는데도 불구하고 일방적으로 전송 또는 게시되는 영리목적의 광고성 정보를 뜻한다. 이 글에서는 특정 포털 사이트에서 쪽지를 자동으로 발송하는 프로그램에 대해 분석한 내용을 작성한다. 마케팅 프로그램으로 소개하고 있지만 이는 스팸 프로그램으로 이용자는 이를 자각하고 주의할 필요가 있다. 위 PUP 프로그램은 특정 포털사이트에서 쪽지를 자동으로 발생시키는 스팸 프로그램이다. 실행 화면으로 알 수…

취약한 MySQL 서버를 대상으로 유포 중인 AsyncRAT 악성코드

ShadowServer 재단은 최근 전 세계에서 외부에 노출되어 있는 MySQL 서버의 수가 약 360만 대 존재한다는 보고서를 공개하였다. MySQL 서버는 MS-SQL 서버와 함께 대표적인 데이터베이스 서버로서 기업이나 사용자 환경에서 대량의 데이터를 관리하는 기능을 제공한다. 일반적으로 윈도우 환경에서는 MS-SQL이 대표적이지만 리눅스 환경에서는 MySQL이 아직까지 많이 사용되고 있다. ASEC 분석팀에서는 취약한 데이터베이스 서버를 대상으로 유포되는 악성코드들을 지속해서 모니터링하고 있다. 윈도우 환경 기준으로 대부분의 공격이 MS-SQL 서버를 대상으로 발생하며 실제 자사 ASD 로그에서도 이를 확인할 수 있다. 다음과 같은 ASEC 블로그에서도 코발트 스트라이크, Remcos…