미국 투자은행을 사칭한 악성 워드문서(External 연결 + VBA 매크로)

ASEC 분석팀에서는 대북관련, 공공기관 등으로 위장하여 유포되는 악성 문서를 지속적으로 보고하고 있다. 이번 소개할 내용은 미국 투자은행을 사칭하여 유포되는 악성 DOC(워드) 문서로 사칭 내용은 [그림 1]과 같다. 해당 악성 DOC(워드) 문서는 MAC OS 환경에서 동작하며 감염시 사용자 PC에 백도어를 설치한다. 해당 악성 DOC(워드) 문서는 [그림 2] 와 같이 External 로 다운로드를 위한 악성 URL이 명시되어 있다. 따라서 문서 실행시 [그림 3] 과 같이 External 연결을 통해 악성 URL로 부터 추가 악성 문서를 다운로드 받아 실행되고, 추가 악성 문서에 포함된 공격자의…

ASEC 주간 악성코드 통계 ( 20210419 ~ 20210425 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 4월 19일 월요일부터 2021년 4월 25일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 72.5%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 16.0%, 다운로더가 5.0%, Coin Miner 가 4.6%, 랜섬웨어가 1.2%, 뱅킹 악성코드는 0.8%로 집계되었다. Top 1 –  AgentTesla AgentTesla는 25.6%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한…

구글 키워드 검색으로 유포되는 정보 유출 악성코드들

ASEC 분석팀에서는 과거 애드웨어 및 PUP 프로그램을 통해 유포되는 BeamWinHTTP 악성코드를 다루었다. 사용자가 크랙이나 키젠과 같은 프로그램을 설치하기 위해 피싱 페이지에서 설치 파일을 다운로드 받아 설치할 때 추가적으로 각종 PUP 및 BeamWinHTTP 악성코드가 설치되며, BeamWinHTTP는 추가적으로 정보 유출 악성코드 즉 인포스틸러들을 설치하였다. 구글 같은 검색 엔진에서 프로그램의 이름 및 크랙이나 키젠과 같은 키워드를 검색할 경우 다음과 같이 가짜 단축 url 링크가 걸려있는 웹 페이지들이 확인될 때가 있다. 단축 url은 아래의 예시에서는 “hxxps://imgfil[.]com”이며, 이외에도 “hxxps://blltly[.]com”도 확인된다. “imgfil[.]com”은 “https://imgflip.com”을 사칭하는 것으로 추정되며,…

저작권 위반 관련 내용으로 유포되는 Makop 랜섬웨어

ASEC 분석팀은 최근 입사지원서로 위장한 Makop 랜섬웨어 유포에 대해 공유하였으며, 금주 해당 랜섬웨어가 저작권 위반 관련 내용으로 유포되고 있음을 확인하였다. 기존과 달리 .zip 확장자가 아닌 .dat 확장자로 압축파일이 첨부되어 있다. 메일 첨부 파일 검사를 회피하기 위해 메일을 유포한 날짜를 패스워드로 사용한다. 첨부파일 내부에는 알집으로 압축된 파일이 존재하며, 아래와 같이 총 3개의 파일이 존재한다. 이 중 이미지 원본.jpg 파일은 정상 실행파일이며, 나머지 실행 파일의 경우 동일한 파일로 랜섬웨어 악성코드이다. 해당 파일은 아래와 같이 CCleaner Installer 인 것 처럼 위장하였다. 랜섬웨어 파일…

국내 기업을 타겟으로 유포 중인 코발트 스트라이크 (2)

ASEC 분석팀은 코발트 스트라이크 해킹 툴에 의한 공격을 모니터링하고 있으며, 여기에서는 과거 다루었던 블로그 이후부터 현재까지 확인된 코발트 스트라이크 공격에 대해 정리하도록 한다. 4월 23일 확인된 공격을 보면 코발트 스트라이크 beacon이 다음과 같은 커맨드라인을 갖는 프로세스에 의해 실행되었다. 코발트 스트라이크를 이용하는 공격자들은 보통 정상 프로세스로 위장시키기 위해, 정상 프로세스에 특정 인자까지 지정한 후 실행하고 여기에 실제 백도어인 beacon을 인젝션하는 방식을 사용한다. 이는 코발트 스트라이크 해킹 툴에서 실제 지원하는 기능이다. svchost.exe -k LocalServiceNetworkRestricted 위의 beacon 프로세스가 실행되기 이전에는 다음과 같은 난독화된…