발주서, 품의서를 위장한 AppleSeed 유포

ASEC 분석팀은 최근들어 발주서, 품의서를 위장하여 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 시스템에 상주하면서 공격자의 명령을 받아 악성행위를 수행한다. 최근에는 아래와 같은 파일명으로 악성코드 유포가 이루어지고 있다. 발주서-**-2022****-001-국세청5개지방세무서차단센서 추가 도입_***.jse 품의서(***과장님).jse JSE(JScript Encoded File) 파일은 자바 스크립트로 되어있으며, 실행하면 아래와 같이 AppleSeed 백도어 본체(DLL 파일)와 미끼 문서 파일인 발주서 PDF 파일이 %ProgramData% 경로에 드롭되며, [그림 2]와 같이 발주서 PDF 파일이 자동으로 실행된다. 그 후, regsvr32.exe를 이용하여 AppleSeed 백도어 본체 파일을 디코딩 후 실행(보라색 음영…

원하지 않는 정보 그만 받고 싶어요!

정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 50조에 따르면 누구든지 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하려면 그 수신자의 명시적인 사전 동의를 받아야 한다. 스팸이란 정보통신망을 통해 이용자가 원하지 않는데도 불구하고 일방적으로 전송 또는 게시되는 영리목적의 광고성 정보를 뜻한다. 이 글에서는 특정 포털 사이트에서 쪽지를 자동으로 발송하는 프로그램에 대해 분석한 내용을 작성한다. 마케팅 프로그램으로 소개하고 있지만 이는 스팸 프로그램으로 이용자는 이를 자각하고 주의할 필요가 있다. 위 PUP 프로그램은 특정 포털사이트에서 쪽지를 자동으로 발생시키는 스팸 프로그램이다. 실행 화면으로 알 수…

취약한 MySQL 서버를 대상으로 유포 중인 AsyncRAT 악성코드

ShadowServer 재단은 최근 전 세계에서 외부에 노출되어 있는 MySQL 서버의 수가 약 360만 대 존재한다는 보고서를 공개하였다. MySQL 서버는 MS-SQL 서버와 함께 대표적인 데이터베이스 서버로서 기업이나 사용자 환경에서 대량의 데이터를 관리하는 기능을 제공한다. 일반적으로 윈도우 환경에서는 MS-SQL이 대표적이지만 리눅스 환경에서는 MySQL이 아직까지 많이 사용되고 있다. ASEC 분석팀에서는 취약한 데이터베이스 서버를 대상으로 유포되는 악성코드들을 지속해서 모니터링하고 있다. 윈도우 환경 기준으로 대부분의 공격이 MS-SQL 서버를 대상으로 발생하며 실제 자사 ASD 로그에서도 이를 확인할 수 있다. 다음과 같은 ASEC 블로그에서도 코발트 스트라이크, Remcos…

ASEC 주간 악성코드 통계 ( 20220620 ~ 20220626 )

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 6월 20일 월요일부터 6월 26일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 53.8%로 1위를 차지하였으며, 그 다음으로는 다운로더가 25.1%, 백도어 14.8%, 뱅킹 악성코드4.9%, 랜섬웨어 1.3%로 집계되었다. Top 1 – AgentTesla 인포스틸러 악성코드인 AgentTesla가 25.6%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을 활용하며 FTP나 Discord API…

AnyDesk 원격 툴을 악용하는 공격 사례 (코발트스트라이크, 미터프리터)

윈도우 시스템 기준 MS-SQL 서버는 대표적인 공격 대상이다. 공격자들은 부적절하게 관리되고 있는 취약한 MS-SQL 서버들을 대상으로 스캐닝한 후 제어 획득에 성공할 경우 악성코드를 설치한다. 공격자에 의해 설치되는 악성코드들로는 코인 마이너나 랜섬웨어 그리고 백도어 악성코드 등 목적에 맞게 다양한 유형들이 존재한다. 백도어 유형의 악성코드들 중에는 Remcos RAT, Gh0st RAT과 같은 원격 제어 악성코드 유형들이 대부분을 차지하지만, 코발트 스트라이크나 미터프리터와 같이 기업의 내부 시스템 장악을 위해 사용되는 침투 테스트 도구들도 함께 확인된다. 여기에서 다룰 공격 사례에서 공격자는 취약한 MS-SQL 서버를 대상으로 코발트…