‘구매발주’ 메일로 유포되는 다음(Daum) 위장 피싱

최근 악성코드 유포에 많이 사용되고 있는 방법 중 많은 비중을 차지하는 것이 피싱 메일이다. ASEC 분석팀에서는 지난 블로그들을 통해 특정 피싱 공격 뿐아니라 피싱 메일 유형에 대해서도 정리한 이력이 있다. 이번에도 그와 유사하게 사용자의 다음(Daum)계정 정보 유출을 목적으로 하는 피싱 메일이 확인되었다. 해당 메일은 아래 [그림1]과 같이 특정 학교를 수신, 발신으로 설정하여 유포한 것으로 보아 특정 대상의 계정 정보를 수집할 목적으로 작성된 것으로 추정된다. 구매발주 관련 내용 확인을 위한 메일로 속여 사용자들이 첨부된 HTML을 실행하여 다음(Daum)계정 정보를 입력하도록 유도한다. 아래의…

웹하드를 통해 유포 중인 UDP Rat 악성코드

ASEC 분석팀에서는 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 UDP Rat 악성코드가 성인 게임을 위장하여 웹하드를 통해 유포되고 있는 사실을 확인하였다. 웹하드와 토렌트는 국내 환경에서 악성코드 유포에 주로 사용되는 대표적인 플랫폼이다. 일반적으로 공격자들은 njRAT이나 UDP Rat 같이 쉽게 구할 수 있는 악성코드들을 사용하며, 게임과 같은 정상 프로그램이나 성인물을 위장하여 악성코드들을 유포한다. 이러한 사례들은 이미 아래의 ASEC 블로그와 같이 다수 소개된 바 있다. – 웹하드와 토렌트를 통해 유포 중인 njRAT– 국내 유명 웹하드를 통해 유포되는 njRAT 악성코드– 파일 공유 사이트(성인물) 통해…

ASEC 주간 악성코드 통계 ( 20210920 ~ 20210926 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 9월 20일 월요일부터 2021년 9월 26일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 56.3%로 1위를 차지하였으며, 그 다음으로는 다운로더가 30.1%, RAT (Remote Administration Tool) 악성코드가 9.5%, Coin Miner가 2.2%, 랜섬웨어가 1.7%, 백도어 악성코드가 0.3% 로 집계되었다. Top 1 –  BeamWinHTTP 29.5%로 1위를 차지한 BeamWinHTTP는 다운로더 악성코드이다. PUP 설치 프로그램으로 위장한 악성코드를 통해 유포되는데, BeamWinHTTP가 실행되면 PUP 악성코드인 Garbage Cleaner를…

해외 보안기업, BlueCrab 랜섬웨어 복구 툴 공개

해외 보안기업 BitDefender에서 BlueCrab 랜섬웨어 (Sodinokibi, REVil) 복호화 툴을 공개하였다. *국내 유포 샘플의 경우 추가 작업을 선행해야 정상적으로 복호화가 가능하다. 랜섬노트 파일명 형식을 원본 BlueCrab 랜섬웨어와 동일하게 변경해야 하는데 자세한 방법 및 예시는 본문 하단 [그림 5]와 같다. URL: https://www.bitdefender.com/blog/labs/bitdefender-offers-free-universal-decryptor-for-revil-sodinokibi-ransomware/ 해당 기업에 따르면 법 집행기관의 협조 하에 해당 도구를 제작하였으며 2021년 7월 13일 이전에 이루어진 공격에 대해 복호화가 가능하다고 설명하고 있다. 현재 BlueCrab 랜섬웨어의 랜섬 페이지가 정상적으로 동작하고 있지 않기 때문에 사용자는 암호화된 파일을 복호화할 방법이 없으며, 해당 툴을 사용하여…

Kimsuky 그룹에서 사용하는 VNC 악성코드 (TinyNuke, TightVNC)

ASEC 분석팀에서는 최근 Kimsuky 관련 악성코드를 모니터링 하던 중 AppleSeed 원격제어 악성코드에 의해 VNC 악성코드들이 설치되는 정황을 포착했다. VNC는 가상 네트워크 컴퓨팅(Virtual Network Computing)이라고 불리는 기술로서 원격으로 다른 컴퓨터를 제어하는 화면 제어 시스템이다. 일반적으로 자주 사용되는 RDP와 유사하게 원격으로 다른 시스템에 접속하여 제어하기 위한 목적으로 사용된다. Kimsuky 그룹은 최초 침투 과정을 거쳐 공격 대상 시스템에 AppleSeed 백도어를 설치하는데, 여기에 그치지 않고 AppleSeed를 통해 추가적으로 VNC 악성코드를 설치하여 공격 대상 시스템을 그래픽 환경으로 제어할 수 있게 한다. 설치되는 VNC 악성코드들 중에는…