취약한 데이터베이스 서버를 대상으로 유포 중인 Gh0stCringe RAT

ASEC 분석팀은 취약한 데이터베이스 서버(MS-SQL, MySQL 서버)를 대상으로 유포되는 악성 코드들을 지속해서 모니터링하고 있다. 여기에서는 Gh0stCringe[1]라고 하는 RAT 악성코드를 다룬다. Gh0stCringe는 CirenegRAT이라고도 불리는 악성코드로서 Gh0st RAT의 코드를 기반으로 하는 변종 중 하나이다. 2018년 12월경에 처음 확인되었으며 SMB 취약점(ZombieBoy의 SMB 취약점 도구를 사용하여)을 통해 유포되었던 것으로 알려져 있다.[2] 이후 직접적인 연관 관계가 확인된 것은 아니지만 2020년 6월경 발간된 KingMiner 코인 마이너 분석 보고서[3]에서 언급된 바 있다. 최근 확인되고 있는 Gh0stCringe RAT은 취약한 데이터베이스 서버들을 대상으로 유포되고 있다. 자사 ASD 로그를 기반으로…

유튜브를 통해 유포 중인 정보 탈취형 악성코드

ASEC 분석팀은 최근 정보 탈취형 악성코드가 유튜브를 통해 유포 중인 것을 확인하였다. 공격자는 발로란트 게임 핵을 위장하여 다음과 같은 동영상을 업로드하였으며, 아래의 백신을 끄고 설치하라는 설명과 함께 악성코드의 다운로드 링크를 삽입하였다. 유튜브를 경로로 게임 핵이나 크랙을 위장하여 유포되는 사례는 과거에도 다음과 같은 ASEC 블로그에서 다룬 바 있다. [ASEC 블로그] 유튜브를 통해 유포 중인 RedLine 인포스틸러 사용자들이 발로란트 게임 핵 프로그램을 다운로드 받기 위해 해당 링크를 클릭할 경우 다음과 같은 다운로드 페이지를 확인할 수 있다. 다운로드 페이지 주소 : hxxps://anonfiles[.]com/J0b03cKexf 파일…

20대 대통령선거 선상투표 보도자료 가장한 악성 한글문서 유포

대선을 앞두고 ASEC 분석팀은 “20대 대통령선거 선상투표 보도자료”를 가장한 악성 한글 문서가 유포중임을 확인하였다. 공격자는 02/28일 악성 한글 문서를 유포하였으며 해당 악성 문서는 확보되지 않았지만, 자사 ASD(AhnLab Smart Defense) 인프라 로그에 따르면 내부 OLE 개체를 통해 배치파일을 구동하여 파워쉘을 실행하는 형태로 추정된다. 유포 파일명: 보도자료(220228)_3월_1일___3월_4일_제20대_대통령선거_선상투표_실시(최종).hwp [그림 1]은 인프라에 확인된 배치 파일 경로와 한글 파일명이다. 동일한 정상 한글 문서 크기가 2.06MB인 반면에 악성 한글문서는 2.42MB로 내부에 추가 BAT 파일 삽입을 통해 문서가 제작된 것으로 보인다. %TEMP%\mx6.bat (배치파일 생성 경로) 이와 유사한…

ASEC 주간 악성코드 통계 ( 20220221 ~ 20220227 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 2월 21일 월요일부터 2월 27일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 77.9%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 15%, 다운로더 2.9%, 랜섬웨어 2.1%, 뱅킹 악성코드 1.7%, 백도어 0.4% 로 집계되었다. Top 1 – Formbook 이번주는 인포스틸러 악성코드인 Formbook이 30%로 1위를 기록하였다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. mv ERATO.exe…

웹하드를 통해 유포 중인 njRAT

웹하드는 국내 사용자를 대상으로 하는 공격자들이 사용하는 대표적인 악성코드 유포 플랫폼이다. ASEC 분석팀에서는 웹하드를 통해 유포되는 악성코드들을 모니터링하고 있으며 과거 다수의 블로그를 통해 정보를 공유한 바 있다. 최근에는 UdpRat이나 GoLang으로 개발된 DDoS IRC Bot 등 다양한 형태가 사용되고 있지만, 과거에는 아래와 같이 njRAT이 다수의 공격에서 사용되어 왔다. 국내 유명 웹하드를 통해 유포되는 njRAT 악성코드 파일 공유 사이트(성인물) 통해 유포 중인 Korat 백도어 웹하드와 토렌트를 통해 유포 중인 njRAT ASEC 분석팀에서는 최근 웹하드를 통해 유포 중인 njRAT 악성코드를 확인하여 블로그에서 소개하려고…