공격자 메일에 회신한 경우에 외부 링크로 제공되는 워드문서 (Kimsuky) Posted on 2022년 7월 26일 ASEC 분석팀은 대북 관련 내용의 악성 워드 문서가 꾸준히 유포되고 있음을 확인하였다. 확인된 워드 문서는 안랩 TIP에 공개된 “2021년 Kimsuky 공격 워드(word) 문서 사례 총 정리 분석 보고서” 및 ‘외교/안보 관련 내용의 워드문서 유포 중‘ 에서 공유한 워드 문서 유형과 더불어 mshta를 이용하는 유형이 확인되었다. 악성 워드 문서는 다음과 같이 다양한 파일명으로 유포되고 있다. 김** 이력서(한미**협회,220711).doc 양**_**재단 중간보고(220716).doc 자문 요청서.doc 유형 1 자문 요청서.doc 파일명의 악성 워드 문서는 아래의 메일을 통해 유포되었을 것으로 추정된다. 공격자는 국내 기관을 사칭하여 보고서 작성에…
국내 대학교 대상으로 악성 CHM 유포 중 Posted on 2022년 7월 26일 ASEC 분석팀은 국내 특정 대학교를 대상으로 악성 CHM 파일이 다수 유포되고 있는 정황을 포착하였다. 유포 중인 악성 CHM 파일은 지난 5월에 소개했던 유형과 동일한 유형인 것으로 확인하였다. [그림 1] 은 악성 CHM 내부에 존재하는 HTM 파일의 코드이며, 파일명 “2022년도_기초과학연구역량강화사업_착수보고회_개최_계획 Ver1.1.chm” 으로 유포 중인 것으로 추정된다. 사용자가 악성 CHM 파일을 실행하게 되면, 해당 HTM 파일의 코드가 실행된다. 해당 스크립트는 hh.exe 를 통해 CHM 파일을 디컴파일 후 LBTWiz32.exe 파일을 실행하는 기능을 수행한다. 이후 정상 이미지(KBSI_SNS_003.jpg) 를 사용자 PC 화면에 생성하여 악성 행위를…
ASEC 주간 악성코드 통계 (20220718 ~ 20220724) Posted on 2022년 7월 25일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 7월 18일 월요일부터 7월 24일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 44.7%로 1위를 차지하였으며, 그 다음으로는 백도어 악성코드가 40.3%, 다운로더 14.5%, 랜섬웨어 0.6%로 집계되었다. Top 1 – Agent Tesla 인포스틸러 악성코드인 AgentTesla가 27.0%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며 FTP나 Discord API…
국내 포털 사이트 Daum으로 위장한 피싱 메일 Posted on 2022년 7월 22일 ASEC 분석팀은 해당 블로그 작성 날짜 기준으로 전날인, 2022년 7월 21일에 국내 포털 사이트 중 하나인 Daum으로 위장한 피싱 메일이 유포되고 있는 정황을 포착하였다. 해당 피싱 메일은 제목에 RFQ를 포함하여 견적 요청서로 둔갑하였으며, 첨부 파일을 이용하여 피싱 페이지로 유도하도록 만들어졌다. 첨부 파일은 HTML 파일로 이루어져 있으며, 첨부 파일을 실행하면 자동으로 아래 주소로 리다이렉션된다. hxxps://euoi8708twufevry4yuwfywe8y487r.herokuapp[.]com/sreverse.php 리다이렉션이 된 후, 아래와 같은 Daum으로 위장한 피싱 페이지[그림 3-좌]가 출력되며, 실제 로그인 페이지[그림 3-우]와 비교했을 때 거의 비슷하게 꾸며 놓은 것을 알 수 있다. 피싱…
Proxyware를 이용해 수익을 얻는 공격자들 Posted on 2022년 7월 22일 Proxyware란 설치된 시스템에서 현재 사용 가능한 인터넷 대역폭 일부를 외부에 공유하는 프로그램이다. 일반적으로 이를 설치하는 사용자는 대역폭을 제공하는 대신 일정한 금액을 받는다. 이러한 서비스를 제공하는 업체들로는 Peer2Profit, IPRoyal과 같은 회사들이 있다. 해당 업체들은 제공 받은 대역폭을 다른 업체들에 제공하는 방식으로 수익을 얻는데 홈페이지에 따르면 소프트웨어 배포, 시장 조사, 광고 검증, 소프트웨어 테스트와 같은 다양한 비즈니스 파트너들이 있다고 주장한다. 사용자 입장에서는 시스템에 Proxyware를 설치함으로써 일정 수익을 얻을 수 있지만, 외부의 다른 사용자가 자신의 네트워크를 이용해 특정 행위를 수행한다는 점에서 위험을 감수해야…
