ASEC 주간 악성코드 통계 ( 20220606 ~ 20220612 )

Posted By ,

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 6월 6일 월요일부터 6월 12일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 뱅킹 악성코드가 44.1%로 1위를 차지하였으며, 그 다음으로는 인포스틸러가 39.3%, 백도어 9.9%, 다운로더 2.9%, 코인마이너 1.9%로 집계되었다. Top 1 – Emotet 이번주에는 Emotet 악성코드가 41.5%로 1위를 기록하였다. Emotet은 뱅킹 악성코드이며 스팸 메일을 통해 꾸준히 유포되고 있다. 기존 주간 악성코드 통계 포스트의 통계 산출 대상에서 일시적으로 제외되었던 Emotet…

이메일 하이재킹을 통해 Bumblebee 악성코드 국내 유포 중

Posted By ,

ASEC 분석팀은 최근 다운로더 유형의 악성코드인 Bumblebee 가 다수 유포되고 있는 정황을 포착하였다. Bumblebee 다운로더는 피싱 메일을 통해 ISO 파일로 유포되고 있으며, ISO 파일은 바로가기 파일과 악성 dll 파일을 포함하고 있다. 추가로, 이메일 하이재킹을 통해 국내 사용자를 대상으로 유포되는 사례도 확인되었다. 아래는 Bumblebee 다운로더를 유포하는 피싱 메일이다. 해당 메일은 정상 메일을 가로채 악성 파일을 첨부하여 사용자에게 회신한 형태이다. 해당 메일을 수신한 사용자의 경우, 정상적인 회신으로 판단하여 큰 의심 없이 첨부파일을 실행할 수 있어 주의가 필요하다. 추가로 확인되고 있는 피싱 메일…

활발하게 유포 중인 BAT 스크립트 포함한 악성 한글문서 (북한/국방/방송)

Posted By ,

ASEC 분석팀은 한글 문서의 정상 기능(OLE 개체 연결 삽입)을 악용하는 APT 문서가 최근 활발하게 유포 중임을 확인하였다. 지난 3월 3일 소개한 “20대 대통령선거 선상투표 보도자료 가장한 악성 한글문서 유포” 사례 이후로 공격자는 국방, 대북, 방송 관계자들을 대상으로 지속적으로 악성 한글 문서를 유포하고있다. 악성 한글 문서의 동작 방식은 한글 문서 안에 삽입된 OLE 개체(배치파일)가 실행되고, 이후 파워쉘을 통해 쉘코드를 정상 프로세스에 인젝션하여 동작한다. 이때 공격자는 OLE 개체(배치파일)가 실행될 수 있도록 사용자의 본문 클릭을 유도하는 문구를 주로 삽입한다. 아래의 한글 문서 목록은…

ASEC 주간 악성코드 통계 ( 20220530 ~ 20220605 )

Posted By ,

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 5월 30일 월요일부터 6월 5일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 89.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 8.5%, 랜섬웨어, 다운로더, 뱅킹 악성코드가 각각 0.5%로 집계되었다. Top 1 – Formbook 이번주에는 Formbook 악성코드가 33.7%로 1위를 기록하였다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. BL COPY- CIF LCL SEA…

‘항균필름제안서’ 내용의 Follina 취약점(CVE-2022-30190) 공격

Posted By ,

지난 5월 31일, ASEC 분석팀에서는 본 블로그를 통해 MS 오피스 문서파일에 대한 제로데이 취약점인 Follina 에 대해 신속하게 소개한 바 있다. 아직 해당 취약점에 대한 패치가 제공되지 않아 사용자 주의가 요구되는 상황이다. 주의! MS 오피스 제로데이 취약점 Follina (CVE-2022-30190) 안랩은 해당 취약점 이용한 공격시도에 대해 파일진단, 행위진단 관점에서 탐지 룰을 배포한 상황이며, 다양한 자사 제품군(V3, MDS, EDR)에서 탐지가 가능한 상황이다. 해당 공격 시도에 대한 모니터링을 진행하는 상황에서 6월 7일에 국내 사용자를 타겟으로 한 유포 정황이 안랩 ASD(Ahnlab Smart Defence)인프라를 통하여…