문서 편집 및 메신저 프로그램으로 위장한 백도어 (*.chm) Posted By ASEC , 2022년 5월 3일 ASEC 분석팀은 악성 CHM 파일을 통해 국내 다수 사용자가 이용 중인 문서 편집 및 메신저 프로그램으로 위장한 백도어가 국내 유포 중인 것을 확인하였다. 최근 다양한 형태로 유포 중인 악성 CHM 파일은 지난 3월에도 ASEC 블로그를 통해 두 차례 소개해왔다. 이번에 소개할 악성 CHM 파일은 이전과 다른 과정을 거쳐 추가 악성 파일들을 실행한다. 현재 유포 중인 CHM 파일명 중 일부는 아래와 같으며, 국가 기관 관리자 및 대학 교수 등을 대상으로 유포되는 것으로 보인다. 유포 파일명국가융합망 예버서버 점검.chm***** 전자출결-웹페이지 교수자-메뉴얼 Ver1.0.chm붙임1. 전임교원…
Lazarus 그룹의 NukeSped 악성코드 분석 보고서 Posted By ASEC , 2021년 11월 10일 안랩 시큐리티대응센터(ASEC)은 2020년경부터 최근까지 확인되고 있는 Lazarus 그룹의 공격들에 대해 분석 보고서를 공개한다. 여기에서 다루는 악성코드는 NukeSped로 알려져 있으며 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있는 백도어 악성코드이다. 본 문서에서는 NukeSped를 이용한 공격들에 대한 전체적인 흐름을 분석한다. 차례대로 확인된 유포 방식부터 시작하여 NukeSped의 기능들을 분석하고, 공격자로부터 전달받은 명령이나 추가적으로 설치한 악성코드들까지 각 단계별로 상세하게 정리한다. ____ ____ 목차개요1. 최초 침투 방식…. 1.1. 메일 첨부 문서 파일을 통한 유포 사례…. 1.2. 워터링홀 공격을 통한 유포 사례2. 다운로더…. 2.1. 다운로더…
워드양식 입사지원서로 위장한 Zegost 악성코드 Posted By ASEC , 2020년 9월 18일 ASEC 분석팀은 9월 17일 입사지원서로 위장한 Zegost 악성코드가 유포되고 있음을 확인하였다. 해당 파일은 워드 문서 아이콘으로 되어 있어 사용자가 악성 실행 파일을 문서 파일로 착각할 수 있다. 파일 버전 역시 Kakao를 사칭하고 있어, 사용자의 주의가 필요하다. 파일 속성 파일 실행 시 C:Windowssystem32Phiya.exe로 자가복제되며, 자동 실행을 위해 아래 레지스트리를 생성한다. HKLMSystemSelectMarktime[파일 실행 시간] HKLMSYSTEMCurrentControlSetservicesSkldef WxyqrStart = 0x02 HKLMSYSTEMCurrentControlSetservicesSkldef WxyqrImagePath = C:Windowssystem32Phiya.exe 생성되는 레지스트리 목록 레지스트리 등록 후 실행된 Phiya.exe는 C드라이브 경로에 2.doc 파일을 생성 및 실행한다. 해당 파일은 아래와 같이 입사지원서 양식을…
파일 공유 사이트(성인물) 통해 유포 중인 Korat 백도어 Posted By ASEC , 2020년 9월 17일 지난 8월, ASEC 분석팀은 국내 웹하드를 통해 백도어 기능의 RAT 악성코드가 유포되고 있음을 소개하였다. 하지만 이러한 유형의 악성코드는 이전과 동일한 방법으로 여전히 유포 중임을 확인하였다. https://asec.ahnlab.com/1369 웹하드나 토렌트를 이용하면 어느 누구나 원하는 자료를 쉽게 업로드하고 다운로드 받을 수 있다. 공격자는 이를 이용하여 자료가 공유되는 곳에 정상과 악성 프로그램을 동시에 업로드하여 일반 사용자들의 감염을 유도한다. 공유되는 자료는 대부분 성인 게임이나 온라인 게임 핵, 불법으로 정품 인증하는 프로그램 등 일반적으로 ‘불법’과 연관된 프로그램이다. 아래의 그림은 특정 파일공유 사이트를 통해 유포된 사례로 성인게임을…
국내 유명 웹하드를 통해 유포되는 njRAT 악성코드 Posted By ASEC , 2020년 8월 19일 njRAT 악성코드는 사용자의 개인 정보를 탈취하며 공격자의 명령을 받아 실행할 수 있는 RAT 악성코드로, 국내에서 개인을 상대로 꾸준히 유포되고 있다. https://asec.ahnlab.com/1367 진단 로그를 분석한 결과 njRAT은 주로 웹하드나 토렌트 등 자료 공유 사이트를 통하여 게임, 인증 툴, 유틸리티 등의 정상 파일로 위장하여 유포되며, 대부분의 경우 원본 프로그램이 실행됨과 동시에 악성코드가 감염되어 사용자 입장에서는 감염 사실을 파악하기 쉽지 않다. ASEC 분석팀은 njRAT 악성코드가 국내 웹하드 사이트를 통해 유포 중인 사례를 소개하고자 한다. 최근 유포된 njRAT의 파일명을 기반으로 역추적한 결과 다음과 같이 국내…
