Microsoft 위장 피싱 공격 증가 Posted By ASEC , 2022년 2월 16일 최근 ASEC 분석팀은 Microsoft 로그인 페이지를 위장한 피싱메일 유입 정황을 포착하였다. 수집된 피싱메일 샘플은 아래의 그림과 같이 해당 기업의 보이스 메시지를 위장하여, playback 파일열람 첨부파일의 클릭을 유도하는 내용으로 구성되어 있다. 해당 첨부파일을 클릭할 경우 Microsoft 로그인 페이지를 위장한 피싱 페이지로 이동한다. 또 다른 샘플은 스캐너를 통해 전송된 파일로 위장하여, 첨부파일 클릭을 유도하는 내용으로 구성되어 있다. 해당 첨부파일 클릭 시, 마찬가지로 Microsoft 로그인 페이지를 위장한 피싱 페이지로 이동한다. 두 샘플 모두 첨부파일 클릭 시, 각각 [그림 3], [그림 4]와 같이 Microsoft…
취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT Posted By Sanseo , 2022년 2월 15일 ASEC 분석팀은 취약한 MS-SQL 서버를 대상으로 하는 공격을 지속해서 모니터링하고 있다. 공격에 취약한 MS-SQL 서버라고 한다면 일반적으로 계정 정보를 부적절하게 관리함에 따라 무차별 대입 공격(Brute Forcing)이나 사전 공격(Dictionary Attack)에 취약한 케이스가 대부분으로 추정된다. 공격자 또는 악성코드는 외부에 노출된 MS-SQL 서버를 스캐닝하고 무차별 대입 공격이나 사전 공격을 통해 MS-SQL에 관리자 계정으로 로그인한 후 xp_cmdshell과 같은 명령을 이용해 악성코드를 설치한다. 이에 따라 이전 블로그에서는 MS-SQL 서버 프로세스 즉 sqlservr.exe에 의해 설치되는 코발트 스트라이크 악성코드를 다루었다. – [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로…
ASEC 주간 악성코드 통계 (20220207 ~ 20220213) Posted By ASEC , 2022년 2월 15일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 2월 7일 월요일부터 2월 13일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 62.3%로 1위를 차지하였으며, 그 다음으로는 뱅킹 악성코드가 18.6%, RAT (Remote Administration Tool) 악성코드 13.6%, 다운로더 3.4%, 랜섬웨어 1.3% 로 집계되었다. Top 1 – AgentTesla AgentTesla가 30.9%로 지난주에 이어 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시…
대북관련 원고 요구사항을 가장한 APT 공격시도 (Kimsuky) Posted By ASEC , 2022년 2월 14일 ASEC 분석팀은 최근 대학원 교수를 대상으로 대북관련 원고 요구사항을 가장한 악성 워드(DOC) 문서를 유포한 정황을 확인하였다. 해당 워드 문서는 다음 이름으로 유포되었으며 문서 제목에서 언급된 카이마(KIMA)는 한국군사문제연구원에서 발행하는 안보, 국방, 군사 분야 전문 월간지 이름이다. 3월 월간 카이마 원고_요구사항.doc 공격자는 특정 대학에 소속된 교수를 대상으로 스피어 피싱 공격을 수행하였다. 악성 워드 문서의 매크로 기능 및 전체적인 동작 방식은 [그림 1]과 같으며 공격자 서버로 부터 추가 명령(VBS(Visual Basic Script) 스크립트)을 다운로드하여 메모리상에서 이를 실행한다. 실행된 VBS 코드가 공격자 C&C 서버와 통신하는…
은폐형 악성코드 PurpleFox 감염여부 확인 및 치료 Posted By ASEC , 2022년 2월 14일 PurpleFox 악성코드는 2018년에 처음 발견되었다. 당시에는 자체 개발한 드라이버를 이용해 악성코드를 은폐하였지만, 2019년부터 오픈소스 ‘Hidden’을 커스터마이즈하여 이용하였으며, 2020년 중반부터는 공격자가 다양한 기능을 추가하기 위해 테스트 하는 것이 포착되었다. PurpleFox는 최종적으로 코인 마이너 악성코드지만 추가 악성코드를 설치하는 다운로더 역할을 수행하며 연결된 다른 PC에 전파하는 기능도 가지고 있다. 현재까지 알려진 유포 방법은 브라우저 취약점을 이용하거나 특정 프로그램으로 사칭, 피싱메일을 이용한 방법 등이며, 2022년 1월 해외에서는 ‘Telegram’ 설치 프로그램으로 사칭해 유포되고 있음이 확인되었다. 루트킷을 이용한 악성코드는 특정 파일나 특정 프로세스 혹은 레지스트리 키…
