기업 사용자 타겟의 악성 워드문서 유포 중 Posted By ASEC , 2022년 3월 25일 ASEC 분석팀은 기업 사용자를 타켓 한 것으로 추정되는 워드 문서를 확인하였다. 확인된 워드 문서는 다른 악성 문서와 마찬가지로 매크로 실행 유도하는 이미지가 존재한다. 또한, 정상 문서처럼 보이도록 하기 위해 매크로 실행 시 Google 계정 보안 강화와 관련된 내용이 노출되고 최종적으로 추가 악성코드 다운로드 및 사용자 정보 유출 행위를 수행한다. 확인된 악성 워드 문서 실행 시 경고창 이미지가 보여지며 ‘공공서식 한글에서 작성된 서식파일’이라고 언급하며 문서 내부에 존재하는 VBA 매크로 실행을 유도한다. 또한, 우측에 존재하는 메모를 통해 Microsoft 작성한 것처럼 보이도록 하였으며…
ASEC 주간 악성코드 통계 ( 20220314 ~ 20220320 ) Posted By ASEC , 2022년 3월 25일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 3월 14일 월요일부터 3월 20일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 70.0%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 19.8%, 다운로더 5.7%, 뱅킹 악성코드 3.6%, 코인 마이너와 백도어가 0.4%로 집계되었다. Top 1 – Formbook Formbook 악성코드는 26.3%로 1위를 기록하였다. 다른 인포스틸러 악성코드들과 동일하게 대부분 스팸 메일을 통해 유포되며 유포 파일명도 유사하다. 아래의 리스트에서 굵은 글꼴로 표시된…
PDF 문서로 위장하여 유포되는 VBS 스크립트 (Kimsuky) Posted By ASEC , 2022년 3월 23일 ASEC 분석팀은 금일(03/23) Kimsuky 조직으로 추정되는 공격 그룹이 국내 특정 기업을 대상으로 APT 공격을 수행하고 있음을 확인하였다. VBS 확장자의 스크립트 파일을 실행 시, 내부에 존재하는 정상 PDF 파일을 실행하여 마치 정상 문서를 열람한 것처럼 속이고, 악성 DLL 파일을 통해 정보유출 기능을 수행하게 된다. 공격 대상은 PDF 문서 내용을 볼 때, 정밀 가공 전문기업으로 추정되며, PDF 문서의 내용은 다음과 같다. 파일명: 접수증-중소기업기술혁신개발사업_시장확대형_녹색전환_S???????.pdf.vbs 이번 공격을 Kimsuky 조직 소행으로 판단한 근거는 다음과 같다. 기존 AppleSeed 악성코드와 유사하게 regsvr32.exe를 통해 실행 Kimsuky 조직에서 사용하는…
오피스 설치 프로그램으로 위장하여 유포 중인 BitRAT 악성코드 Posted By ASEC , 2022년 3월 23일 ASEC 분석팀에서는 이전 BitRAT 악성코드가 윈도우 OS 정품 인증 도구를 위장하여 유포중인 상황을 블로그에 아래글로 게시 하였다. 최근 해당 BitRAT 악성코드는 유포 파일을 변경하여 오피스 설치 프로그램을 통해 피해자들을 유인 하고 있다. 다음은 웹하드에서 업로드된 악성코드가 포함된 게시글이며 “[최신][저렴]오피스 2021 설치 + 영구 정품 인증” 이라는 제목이다. 다운로드된 파일은 [그림 3] [그림 4] 와 같이, 이전 블로그와 동일하게 “Program.zip”이라는 압축 파일이며, 게시글의 설명대로 비밀번호 “1234”로 암호 압축되어 있다. 압축 파일 내부에는 ”OInstall.exe”라고 하는 오피스 설치 프로그램이 포함되어 있다. 피해자에게 노출되는…
코인관련 내용의 워드문서를 이용한 APT 공격 (Kimsuky) Posted By ASEC , 2022년 3월 22일 ASEC 분석팀은 3월 21일 Kimsuky 그룹이 코인관련 내용의 워드문서로 APT 공격을 수행중인 것을 확인하였다. 공격에 사용된 미끼 문서는 총 3건이 확인되었으며 매크로 제작자 및 동작방식은 지난 3월 14일에 ASEC 블로그에 게시한 내용(제목: 제품소개서로 위장한 악성 워드 문서)과 동일하다. 3건 모두 정상적으로 작성된 워드문서를 바탕으로 악의적 매크로 코드를 추가하여 배포한 것으로 추정되며, 내용은 모두 가상화폐와 관련되어있어 코인업체를 타겟으로 한 공격으로 추정된다. 문서를 수정한 사람은 Acer 이름으로 동일하며, 모두 3월 21일 오전에 수정되어 최근 공격에 이용될 가능성이 높아 각별한 주의가 요구된다. 주주물량관련.doc…
