국세청을 사칭한 악성 LNK 유포

AhnLab Security Emergency response Center(ASEC) 에서는 국세청을 사칭한 악성 LNK 파일이 국내 유포되고 있는 정황을 확인하였다. LNK 를 이용한 유포 방식은 과거에도 사용되던 방식으로 최근 국내 사용자를 대상으로 한 유포가 다수 확인되고 있다. 최근 확인된 악성 LNK 파일은 이메일에 첨부된 URL 을 통해 유포되는 것으로 추정된다. 자사 인프라를 통해 확인된 URL 은 아래와 같으며, “종합소득세 신고관련 해명자료 제출 안내.zip” 명의 압축 파일이 다운로드된다. 분석 당시에는 다운로드된 압축 파일 내 악성 LNK 파일과 정상 한글 문서 2개가 존재했다. 현재는 해당 URL…

MS-SQL 서버를 공격하는 HiddenGh0st 악성코드

Gh0st RAT은 중국의 C. Rufus Security Team에서 개발한 원격 제어 악성코드이다. [1] 소스 코드가 공개되어 있기 때문에 악성코드 개발자들이 이를 참고하여 다양한 변종들을 개발하고 있으며 최근까지도 지속적으로 공격에 사용되고 있다. 비록 소스 코드가 공개되어 있지만 Gh0st RAT은 중국 기반의 공격자들이 주로 사용하는 것이 특징이다. 이전 블로그에서도 데이터베이스 서버(MS-SQL, MySQL 서버)를 대상으로 Gh0st RAT의 변종인 Gh0stCringe RAT이 유포된 사례를 공개한 바 있다. [2] 다양한 Gh0st RAT 변종들은 MS-SQL 서버를 대상으로 하는 공격에도 자주 사용된다. AhnLab Security Emergency response Center(ASEC)에서는 부적절하게 관리되고…

저작권 침해로 위장한 다운로더 악성코드 (MDS 제품 탐지)

AhnLab Security Emergency response Center(ASEC)은 지난 8월 28일 대한민국을 대상으로 불특정 다수에게 저작권 침해로 위장한 다운로더 악성코드가 유포된 정황을 확인하였다. 유포된 악성코드는 샌드박스 기반의 보안 솔루션 탐지를 회피하기 위해 가상 환경을 탐지하는 코드가 포함되어 있었으며 MainBot이라 불리는 악성코드를 다운로드하는 닷넷 악성코드였다. 자사 ASD(AhnLab Smart Defense) 인프라 및 VirusTotal에 수집된 파일 정보를 보아 대한민국과 대만에 유포된 것으로 추정된다. 파일명 저작권 침해 관련 영상 이미지.exe 자세한 영상.exe 불법 복제에 관한 자료-OO 엔터테인먼트.exe 涉及侵犯版權的視頻圖像.exe (번역 : 저작권 침해와 관련된 동영상 이미지) 제품 오류…

국내와 태국 대상 APT 공격에 사용된 BlueShell 악성코드

BlueShell은 Go 언어로 개발된 백도어 악성코드로서 깃허브에 공개되어 있으며 윈도우, 리눅스, 맥 운영체제를 지원한다. 현재 원본 깃허브 저장소는 삭제된 것으로 추정되지만 아직까지도 다른 저장소에서 BlueShell의 소스 코드를 확보할 수 있다. 설명이 적혀있는 ReadMe 파일이 중국어인 것이 특징인데 이는 제작자가 중국어 사용자일 가능성을 보여준다. BlueShell이 공격에 사용된 것으로 알려진 사례는 SparkRAT이나 Sliver C2 등 깃허브에 공개되어 있는 다른 악성코드들과 달리 많지 않다. 하지만 실제 국내 공격 사례들을 확인해 보면 다양한 공격자들이 BlueShell을 꾸준히 공격에 사용하고 있는 것이 눈에 띈다. AhnLab Security…

Telegram을 활용하여 사용자 정보를 유출하는 피싱 스크립트 파일 유포중

AhnLab Security Emergency response Center(ASEC)은 최근 이메일 첨부 파일을 통해 PDF 문서뷰어 화면으로 위장한 피싱 스크립트 파일이 다수 유포되고 있는 정황을 확인하였다. 확인된 일부 파일명은 아래와 같으며, 구매 주문서(PO, Purchase Order)/주문/영수증/발주서 등의 키워드를 활용하였다. New order_20230831.html Salbo_PO_20230823.pdf.html WoonggiOrder-230731.pdf.html PO_BG20231608-019.html ○○○ Pharma.pdf.html DH○_BILL_LADING_DOCUMENT_RECEIPT.html _○○○화장품_으로부터 발주서가 발송됐습니다_.msg (이메일) BL_148200078498.html En○○○ Purchase Order.html Sung○○ BioX_New PO.pdf.html 아래의 Figure 1.과 같이 문서의 내용이 블러 처리된 이미지가 배경으로 사용되었고, 첨부파일인 HTML 파일을 실행 시 ‘문서를 보려면 이메일 비밀번호로 로그인하세요’ 의 유도문구를 확인할 수 있다. 비밀번호…