ASEC 주간 악성코드 통계 ( 20210315 ~ 20210321 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 3월 15일 월요일부터 2021년 3월 21일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 81.1%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 9.3%, 다운로더가 6.0%, Coin Miner 가 3.2%, 뱅킹 악성코드가 0.4%로 집계되었다. 랜섬웨어는 수량이 줄어 집계되지 않았다. Top 1 –  AgentTesla AgentTesla는 37.6%로 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는…

국내 MS Exchange Server 취약점 공격 정황 포착 (2)

ASEC 분석팀은 지난 3월 12일, MS Exchange Server 취약점을 통해 악성 파일이 국내에 유포 중임을 공유하였다. 당시 국내에서는 웹쉘(WebShell) 유형의 파일들만 확인이 되었는데, 최근에는 웹쉘을 통해 생성되는 2차 악성 DLL 파일까지 확인되고 있다. 아직까지 해당 취약점에 대한 조치가 이루어지지 않은 곳이 많은 것으로 확인되어 빠른 보안 패치와 대응이 필요한 상황이다. MS Exchange Server 취약점에 의해 생성되는 악성 DLL 파일의 경로는 아래와 같으며, 자사에서는 다수의 국내 메일 서버가 해당 취약점 공격을 통해 감염된 상태인 것을 확인하였다. 악성 DLL 생성 경로– Microsoft.NET\Framework64\*\Temporary…

대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서

ASEC 분석팀에서는 다양한 형태의 문서형 악성코드들에 대해 소개해왔다. 그 중에서 대북과 관련한 본문 내용의 악성 문서는 주로 HWP(한글) 형태로 제작되었고 이전 ASEC 블로그에서도 그 내용을 확인 할 수 있다. 이번에 소개할 내용은 대북 관련한 본문 내용이 담긴 악성 DOC(워드) 문서로, ASEC 분석팀에서 확보해온 해당 문서들의 일부를 공개하고자 한다. 메일로 인해 유포되었을 것으로 추정되는 해당 문서들은 아래와 같은 본문 내용을 포함하며, 문서 내부 XML에 작성된 코드에 ‘외부 External 연결 주소’로 접속하여 추가 문서 파일을 다운로드 받는다. XML 내부에 아래 예시와 같이…

V3 제품에 적용된 AMSI (Anti-Malware Scan Interface) 활용 난독화 스크립트 탐지

V3 Lite 4.0/V3 365 Clinic 4.0 제품은 Microsoft 에서 제공하는 AMSI(Anti-Malware Scan Interface) 를 통해 JavaScript, VBScript, Powershell 등 난독화된 스크립트를 탐지하는 기능이 새롭게 추가 되었다. AMSI(Anti-Malware Scan Interface) 는 응용 프로그램 및 서비스를 백신 제품과 통합 할 수 있는 다목적 인터페이스의 표준으로 공식 문서에서 설명되어 있으며, 아래 [표 1] 에 해당하는 Windows 10의 구성요소에 통합되어 있다. Microsoft AMSI 문서 : https://docs.microsoft.com/en-us/windows/win32/amsi/antimalware-scan-interface-portal – User Account Control, or UAC (elevation of EXE, COM, MSI, or ActiveX installation)– PowerShell (scripts, interactive use,…

주의! 안랩 사칭 견적서 내용의 악성코드 유포 중!!

안랩을 사칭한 피싱 이메일이 유포중이다. 3월 19일 오전 접수된 이메일 파일에 따르면 공격자는 ‘안랩몰’을 사칭하여 이메일을 발송하였다. 공격자는 TMON(티몬), 정부 산하 에너지경제연구원 등 다수의 기업과 공공기관을 대상으로 이메일을 발송하고 있는 것으로 보인다. 제목: [견적서] 주식회사 안랩입니다. 발송자: AhnLab (csadmin@rm.ahnlab.com) ‘[견적서 다운로드 (클릭)]]’ 부분을 클릭하면 피싱 페이지로 이동한다. 접속 주소는 메일 수신 대상에 따라 변경된다. 접속 이후에는 메일한 수신한 사용자의 ID/Password 입력을 요구하고 아래 주소로 정보를 전송한다. 공격자는 사용자의 계정 정보 유출을 목적으로 한다. 안랩몰의 견적 메일은 견적을 요청한 사용자에 한해서만…