ASEC 주간 악성코드 통계 ( 20210705 ~ 20210711 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 7월 5일 월요일부터 2021년 7월 11일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 53.4%로 1위를 차지하였으며, 그 다음으로는 CoinMiner 15.5%, RAT (Remote Administration Tool) 악성코드 14.4%, 다운로더 12.9%, 랜섬웨어 2.7%, Ddos 0.8% 순으로 집계되었다. Top 1 –  Glupteba 15.5%를 차지하는 Glupteba는 Golang으로 개발된 악성코드이다. 다수의 추가 모듈을 다운로드하며 여러 기능을 갖지만 실질적으로는 XMR (모네로) 코인 마이너를 설치하는 코인 마이너 악성코드이다….

더욱 정교해진 Excel 문서 (Dridex, Cobalt Strike 유포)

엑셀 문서를 통해 Dridex 가 유포되는 방식은 작년부터 꾸준히 확인되었으며 ASEC 블로그에도 게시되었다. 최근 ASEC 분석팀은 기존과 비슷한 방식으로 Dridex 와 함께 Cobalt Strike 툴이 함께 유포되는 정황을 포착하였다. 최근 유포되는 엑셀 문서에는 기존과 달리 작업 스케줄러를 이용하여 특정 시간 이후 악성 행위를 수행하는 것으로 확인되었다. 이러한 동작방식의 변화는 샌드박스 환경에서의 탐지 및 행위탐지를 우회하기 위한 시도로 추정된다. 또한, Dridex, Cobalt Strike 악성코드는 과거 도플페이머(DopplePaymer) 랜섬웨어, CLOP 랜섬웨어 감염으로 이어진 피해 사례가 있음으로 기업 사용자 환경의 경우 더욱 주의가 요구된다….

Kaseya VSA 공급망 공격 랜섬웨어(REvil 그룹)

MSP(Managed Service Provider)및 기업 관리 솔루션 개발사 Kaseya의 프로그램 VSA(각종 패치 관리와 클라이언트 모니터링을 수행할 수 있는 cloud 기반 매니지먼트 서비스) 취약점으로 배포된 랜섬웨어는 국내에도 활발하게 유포되고 있는 BlueCrab(Sodinikibi)랜섬웨어로 확인되었다. 아래의 그림은 해당 랜섬웨어 감염 시, 바탕화면의 모습을 나타내며 국내 활발하게 유포중인 BlueCrab과 동일함을 알 수 있다. 국내 이슈되는 BlueCrab이 불특정 다수의 일반 사용자를 대상으로 구글, MS Bing 검색 사이트를 통해 자바스크립트 형태(*.JS)로 유포 중인 것과 달리 이번 피해 사례는 타겟 공격 형태로 유포되었으며, 랜섬웨어 동작 방식에 있어서도 차이가 확인되었다….

다양한 이미지를 포함하여 유포되는 Excel 4.0 매크로

ASEC 분석팀은 Excel 4.0 매크로(수식 매크로)를 이용한 악성 엑셀 파일이 지속적으로 유포 중임을 확인하였다. 해당 악성코드는 지난 5월 불특정 다수에게 메일을 통해 유포된 적이 있으며, 현재까지 다수 확인되고 있어 사용자의 주의가 필요하다. 악성 엑셀 파일 내부에는 매크로 실행을 유도하는 이미지가 포함되어 있으며, 아래는 현재 유포중인 파일에서 사용된 이미지이다. 해당 악성코드는 이름 관리자에 Auto_Open으로 특정 셀을 설정하여 매크로 실행 시 해당 셀에 있는 수식이 자동으로 실행되어 악성 행위를 수행한다. 수식은 주로 숨겨진 시트에 존재하거나 수식이 존재하는 셀의 열을 숨김 처리하여 해당…

지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향 (1)

ASEC 분석팀에서는 악성 매크로 파일에 대해 지속적으로 소개하며 사용자들의 주의를 당부하고 있다. 최근 TA551 공격그룹에서 유포한 유형의 워드 매크로 파일에서 평균 일주일 간격의 변형이 발생하는 것이 확인되어 이를 소개하려 한다. TA551 그룹은 악성코드 유포를 위해 악성 매크로가 포함된 문서를 첨부한 이메일을 주로 활용한다. 문서 매크로 허용 시 HTA 파일을 드롭한 후 추가 악성코드를 내려받는 DOC 파일 자체의 동작 방식은 동일하며, 변형의 주요 골자는 추가로 내려받는 악성코드의 종류에 있다. 위에서 도식화하여 표현한 악성 매크로 동작방식을 설명하면 다음과 같다. 공격자는 악성 DOC…