QakBot과 동일한 방법으로 유포중인 IcedID(BokBot) – 악성 엑셀 다수 유포 중

ASEC 분석팀은 최근 국내 사용자를 대상으로 악성 매크로를 이용한 스팸 메일의 유입이 증가하고 있는 정황을 확인하였다. 유포가 증가한 악성 Excel 파일명은 document-1962646879.xls 와 같이 document-[랜덤한숫자].xls 의 형식을 갖는다. 2021/02/18 2021/02/19 2021/02/20 2021/02/22 2021/02/23 document-10584312.xls document-722570027.xls외 다수 document-1007202158.xls document-1061590730.xls외 다수 document-685793410.xls document-755852080.xls외 다수 document-1121510433.xls document-1135287541.xls외 다수 document-1688341436.xlsdocument-1962646879.xls외 다수 악성 Excel 유포 현황 및 유포 파일명 압축 파일이 첨부되어 발송되는 스팸 메일에서 첨부 파일을 다운로드 받게 되면, 해당 압축 파일에는 Excel 파일이 포함되어 있는 것을 확인할 수 있다. 문서를 실행하면 아래와 같은…

이력서/저작권 관련 메일로 유포중인 악성코드 (랜섬웨어, 인포스틸러)

ASEC 분석팀은 이전부터 꾸준히 유포되던 이력서로 위장한 악성코드가 최근에도 이력서 및 저작권 관련 파일로 위장하여 유포 중임을 확인하였다. 최근 유포 중인 파일 역시 이전과 동일하게 NSIS (Nullsoft Scriptable Install System)형태이며, 아래와 같이 다양한 파일명으로 유포되고 있다. 이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe 저작권법 관련하여 위반인 사항들 정리하여 보내드립니다.exe 포트폴리오(경력사항이랑 같이 기재하였습니다 잘 부탁드리겠습니다).exe 이력서(경력사항 기재하였습니다 잘 부탁드립니다).exe 포트폴리오_210222(경력사항도 같이 확인부탁드릴께요 감사합니다).exe 이력서_210222(경력사항도 같이 확인부탁드릴께요 감사합니다).exe 아래는 최근에 확인된 저작권 위반 관련 위장 메일로, 사용자가 첨부 파일을 실행하도록…

ASEC 주간 악성코드 통계 ( 20210208 ~ 20210221 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 2월 8일 월요일부터 2021년 2월 21일 일요일까지 수집된 2 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 67.7%로 1위를 차지하였으며, 그 다음으로는 다운로더가 12.0%, Coin Miner 가 9.7%, RAT (Remote Administration Tool) 악성코드가 9.2%, 랜섬웨어가 1.4%로 집계되었다. 뱅킹 악성코드는 이전과 동일하게 수량이 줄어들어 집계되지 않았다. Top 1 –  AgentTesla AgentTesla는 24.4%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러…

DoppelPaymer 랜섬웨어 동작방식 및 V3 탐지

최근 미국의 의료 서비스 및 교육기관을 타깃으로 이슈가 되었던 ‘DoppelPaymer 랜섬웨어’에 관하여 트렌드 마이크로에서 조사 결과를 발표 하였다. DoppelPaymer 랜섬웨어는 해외의 국내 기업까지 피해가 확산되며 이슈가 되고 있다. https://www.etnews.com/20210218000110 https://news.mt.co.kr/mtview.php?no=2021021822141892938 https://www.dailysecu.com/news/articleView.html?idxno=120820 https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html 트렌드 마이크로의 조사에 따르면 DoppelPaymer는 정상 문서파일로 위장한 악성파일(예: EMOTET)의 다운로드 링크 또는 첨부파일이 포함된 스팸 이메일을 통해 유포되며, 실행된 악성코드(예: EMOTET)는 C&C 통신을 통해 [그림 3] 과 같이 Dridex 악성코드를 다운로드 하고 Dridex 악성코드로부터 DoppelPaymer 랜섬웨어가 다운로드 되었다고 설명하였다. 보고서에는 추가적으로 DoppelPaymer 랜섬웨어는 악성 루틴을 실행하기 위해서 실행…

ASEC 주간 악성코드 통계 ( 20210201 ~ 20210207 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 2월 1일 월요일부터 2021년 2월 7일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 70.9%로 1위를 차지하였으며, 그 다음으로는 Coin Miner가 13.7%, RAT (Remote Administration Tool) 악성코드가 13.2%, 다운로더는 2.2%로 집계되었다. 랜섬웨어와 뱅킹 악성코드는 수량이 줄어들어 집계되지 않았다. Top 1 –  AgentTesla AgentTesla는 22.9%를 차지하며 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근…