ASEC 주간 악성코드 통계 ( 20220620 ~ 20220626 ) Posted on 2022년 6월 27일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 6월 20일 월요일부터 6월 26일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 53.8%로 1위를 차지하였으며, 그 다음으로는 다운로더가 25.1%, 백도어 14.8%, 뱅킹 악성코드4.9%, 랜섬웨어 1.3%로 집계되었다. Top 1 – AgentTesla 인포스틸러 악성코드인 AgentTesla가 25.6%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며 FTP나 Discord API…
AnyDesk 원격 툴을 악용하는 공격 사례 (코발트스트라이크, 미터프리터) Posted on 2022년 6월 27일 윈도우 시스템 기준 MS-SQL 서버는 대표적인 공격 대상이다. 공격자들은 부적절하게 관리되고 있는 취약한 MS-SQL 서버들을 대상으로 스캐닝한 후 제어 획득에 성공할 경우 악성코드를 설치한다. 공격자에 의해 설치되는 악성코드들로는 코인 마이너나 랜섬웨어 그리고 백도어 악성코드 등 목적에 맞게 다양한 유형들이 존재한다. 백도어 유형의 악성코드들 중에는 Remcos RAT, Gh0st RAT과 같은 원격 제어 악성코드 유형들이 대부분을 차지하지만, 코발트 스트라이크나 미터프리터와 같이 기업의 내부 시스템 장악을 위해 사용되는 침투 테스트 도구들도 함께 확인된다. 여기에서 다룰 공격 사례에서 공격자는 취약한 MS-SQL 서버를 대상으로 코발트…
ASEC 주간 악성코드 통계 ( 20220613 ~ 20220619 ) Posted on 2022년 6월 24일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 6월 13일 월요일부터 6월 19일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 63.8%로 1위를 차지하였으며, 그 다음으로는 백도어가 17.8%, 다운로더 8.9%, 뱅킹 악성코드7.5%, 랜섬웨어 1.9%로 집계되었다. Top 1 – AgentTesla 인포스틸러 악성코드인 AgentTesla가 29.1%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며 FTP나 Discord API…
신종 정보탈취 악성코드, 크랙 위장 유포 중 Posted on 2022년 6월 22일 ASEC 분석팀은 S/W 크랙 및 인스톨러로 위장하여 유포되는 다양한 악성코드를 소개한 바 있다. CryptBot, RedLine, Vidar 악성코드가 대표적이다. 최근 단일 악성코드 형태의 RedLine 악성코드가 자취를 감추고(드로퍼 유형으로는 유포 중) 신종 정보 탈취 악성코드가 활발히 유포 중이다. 5월 20일 경부터 본격적으로 유포되기 시작하였으며, 해외에서는 해당 악성코드를 “Recordbreaker Stealer”로 분류하고 있으며, Raccoon Stealer의 새로운 버전이라는 분석도 존재한다. 검색엔진에서 상용 S/W의 크랙, 시리얼, 인스톨러 등을 검색하여 유포 페이지로 접속한 후 압축 파일을 다운로드, 해제할 경우 악성코드가 생성된다. 해당 악성코드는 주로 대용량의 패딩 영역을…
저작권 사칭 메일을 통한 LockBit 랜섬웨어 유포 Posted on 2022년 6월 21일 ASEC 분석팀은 이전에 소개한 방식과 동일한 저작권법 위반의 내용으로 사칭한 피싱 메일을 통해 LockBit 랜섬웨어가 다시 유포되고 있음을 확인하였다. 지난 2월 유포되었던 피싱 메일(아래 링크 참고) 본문과 유사한 내용으로 작성되었으며 기존처럼 첨부된 파일명에 압축 파일의 비밀번호를 포함하여 유포하였다. 지원서 및 저작권 관련 메일로 LockBit 랜섬웨어 유포 중 [그림 2]와 같이 피싱 메일에 첨부된 압축 파일 내부에 추가 압축 파일이 존재하는 것을 확인할 수 있다. 내부의 압축 파일을 풀면, [그림 3]과 같이 PDF 파일 아이콘을 위장한 실행 파일이 존재한다. 해당 파일은…
