랜섬웨어

입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어

ASEC 분석팀은 LockBit 2.0 랜섬웨어가 메일을 통해 유포되고 있음을 지난 2월, 6월에 걸쳐 블로그에 게시한 바 있는데, 새로운 버전의 LockBit 3.0 랜섬웨어가 유사 방식을 통해 여전히 다수 유포 중 임을 알리고자 한다. 지난 6월에는 저작권 사칭 메일로 다수 유포가 되었던 반면 최근에는 입사지원 관련으로 위장한 피싱 메일을 통해 유포 중이다. 위 메일 캡처와 같이 첨부된 압축 파일명 자체에 압축 비밀번호가 명시된 경우가 있지만, 압축 파일명에 명시하지 않고 메일 본문에 압축 비밀번호를 명시한 케이스도 확인되었다. 후자의 경우 메일을 수신한 사용자만 이…

취약한 MS-SQL 서버를 대상으로 유포 중인 FARGO 랜섬웨어 (Mallox)

ASEC 분석팀은 취약한 MS-SQL 서버를 대상으로 유포되는 악성 코드들을 지속해서 모니터링하고 있다. 최근 FARGO 랜섬웨어가 취약한 MS-SQL 서버를 대상으로 유포 중인 것을 확인하였다. FARGO 랜섬웨어는 GlobeImposter 랜섬웨어와 함께 취약한 MS-SQL 서버를 대상으로 유포되는 대표적인 랜섬웨어이며 과거에는 .mallox 확장자를 사용함에 따라 Mallox 랜섬웨어라고도 불린다. – [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 Remcos RAT– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코발트 스트라이크 (2)– [ASEC 블로그] 취약한 MS-SQL 서버를 대상으로 유포 중인 코인…

국내 기업 대상의 귀신(Gwisin) 랜섬웨어

최근 국내 기업을 대상으로 한 귀신(Gwisin) 랜섬웨어 피해가 증가하고 있다. 이 랜섬웨어는 특정 기업을 타겟으로 제작되어 유포되고 있으며, 매그니베르(Magniber)와 동일하게 MSI 설치 파일 형태로 동작한다. 불특정 다수를 대상으로 유포되는 매그니베르와 달리 귀신 랜섬웨어는 파일 단독 실행 만으로는 행위가 발현되지 않고, 특별한 실행 인자 값이 필요하다. 이러한 인자 값은 MSI 내부에 포함된 DLL 파일의 구동에 필요한 키 정보로 활용된다. 이러한 동작 방식의 특징으로 인해 다양한 샌드박스 환경의 보안 제품에서는 파일 실행만으로 랜섬웨어 행위가 발생하지 않음으로 탐지가 어려울 수 있다. 또한,내부 DLL…

저작권 사칭 메일을 통한 LockBit 랜섬웨어 유포

ASEC 분석팀은 이전에 소개한 방식과 동일한 저작권법 위반의 내용으로 사칭한 피싱 메일을 통해 LockBit 랜섬웨어가 다시 유포되고 있음을 확인하였다. 지난 2월 유포되었던 피싱 메일(아래 링크 참고) 본문과 유사한 내용으로 작성되었으며 기존처럼 첨부된 파일명에 압축 파일의 비밀번호를 포함하여 유포하였다. 지원서 및 저작권 관련 메일로 LockBit 랜섬웨어 유포 중 [그림 2]와 같이 피싱 메일에 첨부된 압축 파일 내부에 추가 압축 파일이 존재하는 것을 확인할 수 있다. 내부의 압축 파일을 풀면, [그림 3]과 같이 PDF 파일 아이콘을 위장한 실행 파일이 존재한다. 해당 파일은…

메일을 통해 유포되는 XLL 악성코드

그동안 악성코드는 다양한 형태와 방식으로 변화하며 제작되고 유포되고 있다. 그러한 변화들을 안랩 분석팀에서는 적극적으로 모니터링하며 분석하고 제품에 진단 반영되도록 하고있다. 이번에는 작년부터 유포정황이 확인된 XLL형식의 악성코드에 대해 소개하고자 한다. .xll 확장자로 동작 가능한 XLL 파일은 Microsoft Excel(엑셀)의 추가 기능 파일로 해당 MS Excel을 통해 파일을 실행 할 수 있다. 특이한 점은 실행은 MS Excel로 되어 문서의 외형을 할 것으로 오해할 수 있으나 이 XLL 파일은 DLL 실행파일 형태의 외형이다. 기존에 많이 소개된 VBA 매크로가 포함된 Excel파일(.xlam, .xlsm)의 경우 VBA로 제작되나,…