CVE-2021-40444 취약점을 이용한 대북 관련 악성 문서 Posted By ASEC , 2021년 11월 17일 ASEC 분석팀에서는 최근 마이크로소프트에서 9월에 발표한 신규 취약점인 CVE-2021-40444를 포함한 문서 파일들이 유포되고 있는 정황을 확인하였다. 주목할 점은 확인된 문서들이 대북관련이라는 점이다. 대북과 관련한 악성 문서들은 과거부터 지속 새로운 방식으로 발전하고 있는데 최신 취약점을 사용한 것이 확인된 만큼 관련 공격자들이 발빠르게 새로운 기법들을 적용하여 유포 시도하고 있는 것을 알 수 있다. 취약점 CVE-2021-40444는 MSHTML 관련 원격 코드 실행이 가능한 취약점으로 MSHTML은 Internet Explorer 및 Office 문서 작업 프로그램 내 브라우저 렌더링 엔진이다. 해당 취약점은 Internet Explorer 및 Office 문서 작업…
조류독감 안내문을 위장한 악성코드 발견 Posted By ASEC , 2013년 4월 24일 중국에서 발생한 신종 조류독감(H7N9)이 확산되어 사회적으로 이슈가 되고 있다. 이렇게, 사회적으로 주목 받는 이슈는 악성코드 유포에 활용되고 있으며, 최근 “조류독감 안내문”을 위장한 악성코드가 발견돼 사용자들의 각별한 주의가 요구된다. 이번에 발견된 악성코드(조류독감 안내문.exe)는 이메일의 첨부파일로 유포되었을 것으로 추정되며, 정상적인 MS워드 문서의 아이콘을 사용했다. 해당 악성코드를 실행할 경우 사용자가 악성코드에 감염된 것을 인지할 수 없도록 정상(조류독감 안내문.docx) 워드문서가 실행된다. [그림1] 조류독감 안내문.exe 실행 화면 악성코드는 다음과 같은 파일을 생성하며, Temp 폴더에 생성된 vm1ectmp.exe 파일은 악성코드의 복사본 파일이다. [그림2] 생성 파일 정보 또한, NEWCLIENT13.EXE 파일을 통해 ODBC 폴더에 AppMgmt.dll 파일이 생성된다. [그림3] AppMgmt.dll 파일 AppMgmt.dll 파일은 윈도우 서비스(Application Management)에 등록되어 동작하도록 구성되어 있다. [그림4] 서비스 등록 정보 해당 악성코드는 특정 서버(59.X.X.203)로 접근을 시도하지만 분석 시점에 연결되지 않았다. [그림5] 네트워크 연결 정보 Win-Trojan/Agent
