ASEC 주간 악성코드 통계 ( 20220214 ~ 20220220 ) Posted By ASEC , 2022년 2월 22일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 2월 14일 월요일부터 2월 20일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 74.5%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 17.4%, 뱅킹 악성코드 3.9%, 다운로더 2.1%, 랜섬웨어 2.1% 로 집계되었다. Top 1 – AgentTesla 이번주도 AgentTesla가 34.8%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일을…
견적서 위장 악성코드 유포 방식의 변화 (VBS 스크립트) Posted By ASEC , 2022년 2월 22일 ASEC 분석팀은 지난해 특정 업체의 이름이 포함된 파일명으로 유포된 Formbook 악성코드가 최근 VBS 파일을 통해 유포되고 있음을 확인하였다. 유포가 확인된 메일에는 여전히 견적서 요청 관련 내용을 담고 있으며, 첨부파일명에 특정 회사의 이름이 포함되어 있어 사용자가 첨부파일을 실행하도록 유도한다. 견적서/발주서 제목의 정보유출 악성코드(Formbook) 주의! (21.02.04) 메일에 첨부된 압축파일에는 실행 파일이 아닌 VBS 파일이 존재한다. 해당 악성 파일은 동일한 업체 명에 유포 날짜만 다르게 한 파일명으로 유포되고 있는 것으로 확인된다. 현재 유포가 확인된 파일명은 아래와 같다. 한*산업개발(2022.02.03).pdf.vbs 한*산업개발(2022.02.04).pdf.vbs 한*산업개발(2022.02.07).pdf.vbs 한*산업개발(2022-02-10).pdf.vbs 한*산업개발(2022.02.16).pdf.vbs 한*산업개발(2022.02.17).vbs…
신종 정보 탈취 악성코드 “ColdStealer” 유포 중 Posted By ASEC , 2022년 2월 21일 ASEC 분석팀은 신종 악성코드로 추정되는 ColdStealer가 유포 중임을 확인하였다. 해당 유포는 기존 블로그에서 수차례 언급하였던 크랙 및 툴 등의 S/W 다운로드로 위장한 방식이다. 이러한 방식의 악성코드 유포에는 두 가지 케이스가 존재하는데 1. CryptBot, RedLine 등의 단일 악성코드를 유포하는 케이스와,2. 내부 다양한 여러 악성코드가 압축 해제되어 실행되는 드로퍼형 악성코드이다. ColdStealer의 경우 후자의 방식으로 유포되었다. 이러한 악성코드 유포 케이스는 아래 블로그를 참고하길 바란다. S/W 다운로드 위장, 다양한 종류의 악성코드 유포 드로퍼 악성코드 내부에 다운로더 악성코드가 존재하고, 해당 다운로더 악성코드가 실행될 경우 C2로부터…
취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 (2) Posted By ASEC , 2022년 2월 17일 지난 2월 14일 ASEC 분석팀은 취약한 MS-SQL 서버를 통해 코발트 스트라이크가 유포됨을 공유하였다. 이번 사례는 당시 유포 방식과 다른 프로세스 트리 구조를 갖는 형태의 코발트 스트라이크를 유포하는 정황을 확인하였다. 확인된 유포 방식은 MS-SQL 서버 관련 프로세스인 sqlservr.exe가 취약점에 의해 cmd.exe를 실행하는 것 까지는 동일하나, 이후 mshta.exe와 rundll32.exe를 이용하여 메모리 상에서 파일리스 형태로 코발트 스트라이크를 실행하는 점이 다르다. 공격자는 MS-SQL 취약점에 의해 실행된 cmd.exe를 통해 mshta.exe 프로세스를 실행하였다. mshta.exe는 정상 윈도우 유틸리티로써 Java 스크립트, Visual Basic 스크립트 실행 및 URL을 직접…
지원서 및 저작권 관련 메일로 LockBit 랜섬웨어 유포 중 Posted By ASEC , 2022년 2월 17일 ASEC 분석팀은 최근 이력서, 저작권 관련 내용으로 사칭한 메일을 통해 랜섬웨어가 유포되고 있음을 확인하였다. 이러한 내용의 악성 메일은 과거부터 꾸준히 유포되고 있다. 기존 Makop 랜섬웨어를 유포했던 것과 달리 최근에는 LockBit 램섬웨어를 유포하고 있다. 저작권 위반 관련 내용으로 유포되는 Makop 랜섬웨어 이력서로 위장한 Makop 랜섬웨어 국내 유포 중 유포가 확인된 메일에는 암호가 설정된 압축 파일이 첨부되어 있다. [그림1]에 첨부된 압축 파일 내부에는 다음과 같이 ‘저작권법 관련하여 위반인 사항들 정리하여 보내드립니다.jpg’ 파일과 ‘이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe’ 파일이…
