ASEC 주간 악성코드 통계 ( 20210412 ~ 20210418 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2021년 4월 12일 월요일부터 2021년 4월 18일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러가 78.3%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 13.2%, Coin Miner가 5.6%, 다운로더가 2.6%, 랜섬웨어가 0.3% 로 집계되었다. Top 1 –  AgentTesla AgentTesla는 36.7%를 차지하며 1위를 차지하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 악성코드이다. 최근 유입되는 샘플들은 수집한…

견적서 요청 피싱메일로 위장한 Lokibot 악성코드

ASEC 분석팀은 견적서 요청 건으로 위장한 Lokibot 악성코드 유포 정황을 확인하였다. Lokibot 악성코드는 수 년 전부터 꾸준히 유포되고 있지만, ASEC 블로그를 통해 제공하는 주간 악성코드 통계를 확인해보면 지속적으로 순위권에 있는 것을 알 수 있다. 이번에 확인된 Lokibot 악성코드는 피싱메일 내 첨부파일을 통해 유포되고 있으며, CAB/LZH 를 이용한 압축파일을 이용한 점이 특징이라고 할 수 있다. 메일 본문의 내용은 매우 간단하지만 관련 업무를 수행하고 있다면 발신인을 비롯한 회사 이름이 국내에 실제로 존재하기 때문에 의심 없이 첨부 파일을 실행해 볼 가능성이 존재한다. 첨부파일을…

오피스 워드 External 외부 연결 접속을 이용한 RTF 취약점 악성코드 유포

MS Office Word 문서 External 외부 연결 접속을 이용한 RTF 취약점(CVE-2017-11882) 악성코드 유포 사례가 확인되었다. 국내 쇼핑몰 등 기업을 대상으로 스팸메일을 이용하여 악성코드가 유포되고 있어 주의가 필요하다. 최근들어 External 접속을 이용한 오피스 문서 악성파일 유포가 눈에 띄게 증가하고 있다. OOXML(Office Open XML) 포맷의 정상적인 XML Relationship을 이용하여 Target 주소만 악성 URL을 이용하기 때문에, 파일 바이너리만으로는 악성 여부를 판단하기가 어렵다. 아래는 문서에 삽입된 악성 URL이다. 문서 오픈시 자동으로 악성 URL에 접속을 시도한다. 접속 이후엔 RTF 취약점 파일 바이너리를 현재 오픈한 문서에…

입사지원서로 위장한 Makop 랜섬웨어 유포 주의!

ASEC 분석팀은 최근 입사지원서로 위장한 랜섬웨어가 이메일을 통하여 유포되는 것을 확인하였다. 요즘 많은 기업들의 상반기 채용이 진행되고 있는데 이에 맞춰 채용 담당자를 타겟으로 유포하고 있는 것으로 파악된다. 채용 담당자 메일 계정에 대한 관리 및 주의가 필요하다. 메일은 지원자의 이름으로 보이는 듯한 형식의 제목으로 유포가 이루어지고 있으며, 메일 내에 압축파일로 된 첨부파일과 함께 보내지게 된다. 유포 파일명은 아래와 같다. ● 이력서포트폴리오_210412(열심히 하겠습니다 잘 부탁드립니다).exe ● 입사지원서_210412(열심히 하겠습니다 잘 부탁드립니다).exe  메일 보안 시스템을 우회하기 위하여 압축 비밀번호를 설정하였으며, 압축 비밀번호는 첨부파일명에 같이 적혀있어 압축을 풀게 되면 아래와…

V3 메모리 진단을 통한 취약점(CVE-2021-26411) 탐지 (Magniber)

파일리스(Fileless) 형태로 동작하는 매그니베르(Magniber) 랜섬웨어는 2021년 3월 기존 CVE-2020-0968 취약점 대신 CVE-2021-26411 취약점을 사용하는 스크립트로 변경되었다. 매그니베르(Magniber) 랜섬웨어는 여전히 국내 피해사례가 많은 상황이며, IE 취약점( CVE-2021-26411)을 통해 유포 중임으로 IE 사용자의 경우 보안패치가 필수적으로 요구된다. V3 제품에 탑재된 ‘프로세스 메모리 진단‘ 기능으로 최신 메그니베르(Magniber)의 탐지/차단이 가능하다. 매그니베르 랜섬웨어는 IE 브라우저 취약점을 통한 감염으로 (별도의 파일생성 없이)파일리스 형태로 동작하며, 인젝션(Injection)을 통한 파일리스 형태로 동작한다.  따라서 랜섬웨어 행위를 수행하는 주체가 감염 시스템의 다수의 정상 프로세스들이다. 아래의 그림은 매그니베르 랜섬웨어의 동작과정을 나타낸다. 간략하게 (1)번~(4)번…