악성코드

“「2021 평화∙통일 이야기 공모전」 참가 신청서” 제목의 한글문서 유포 (APT 추정)

ASEC분석팀은 특정 지자체의 문서를 위조한 한글 악성코드가 유포 중인 것을 확인했다. 해당 문서는 아래 [그림 1]과 같이 평화∙통일을 주제로 하고 있다. 문서 실행 시 내부 악성 OLE 개체에 의해 악성코드가 특정 경로에 생성되며 사용자가 문서를 클릭할 경우 실행된다. 해당 악성 문서에 대한 정보는 다음 [그림2]와 같다. 악성 문서는 다음 [그림 3]과 같이 악성 OLE 개체를 포함하고 있으며, 문서가 실행되면 OLE 개체 내부의 PE 파일(.exe) 악성코드가 특정 경로에 생성된다. 악성코드를 생성되는 경로는 다음과 같다. C:\Users[사용자명]\AppData\Local\Temp\HncApp.exe 생성된 파일을 실행시키기 위해 제작자는 문서…

워드양식 입사지원서로 위장한 Zegost 악성코드

ASEC 분석팀은 9월 17일 입사지원서로 위장한 Zegost 악성코드가 유포되고 있음을 확인하였다. 해당 파일은 워드 문서 아이콘으로 되어 있어 사용자가 악성 실행 파일을 문서 파일로 착각할 수 있다. 파일 버전 역시 Kakao를 사칭하고 있어, 사용자의 주의가 필요하다. 파일 속성 파일 실행 시 C:Windowssystem32Phiya.exe로 자가복제되며, 자동 실행을 위해 아래 레지스트리를 생성한다. HKLMSystemSelectMarktime[파일 실행 시간] HKLMSYSTEMCurrentControlSetservicesSkldef WxyqrStart = 0x02 HKLMSYSTEMCurrentControlSetservicesSkldef WxyqrImagePath = C:Windowssystem32Phiya.exe 생성되는 레지스트리 목록 레지스트리 등록 후 실행된 Phiya.exe는 C드라이브 경로에 2.doc 파일을 생성 및 실행한다. 해당 파일은 아래와 같이 입사지원서 양식을…

영화 ‘반도’ 동영상 파일로 위장하여 백도어 유포 중 (Torrent)

지난 6월 24일 ASEC 분석팀은 현재 상영중인 영화 “결백” 영화 파일을 위장한 백도어 악성코드의 유포 현황을 발견하였다.  그리고 8월 5일 동일 류의 악성코드를 모니터링 중 최신 영화인 “반도” 영화 파일로 새롭게 위장한 백도어 악성코드가 유포되는 정황을 포착하였다. 공격자는 지난 번과 동일하게 일반 사용자들이 많이 이용하는 “토렌트(Torrent)”를 통해 악성코드를 유포하였으며, 업로드 시점은 8월 4일 02시 20분으로 확인되었다. 자사 ASD(AhnLab Smart Defense) 인프라에 따르면 해당 파일에 의한 감염자 수가 빠르게 증가하고 있다. https://asec.ahnlab.com/1351 유포지에서 다운로드 된 토렌트 파일명은 영화 파일(“반도.2019.1080p.x265.Netbox.zip“)인 것처럼 보이지만, 실제 파일의 확장자는 zip 압축 파일이다. 해당 압축 파일…

국내 인터넷 커뮤니티 사이트에서 악성코드 유포 (유틸리티 위장)

ASEC 분석팀에서는 7월 23일 국내 유명 커뮤니티의 자료실에서 유틸리티 프로그램을 위장한 악성코드가 유포 중인 것을 확인하였다. 공격자는 공식 홈페이지에서 배포 중인 유틸리티의 실행파일에 악성 쉘 코드를 삽입 후 실행 흐름을 변조하는 방법으로 악성코드를 제작하였다. (정상파일의 빈 공간에 악의적 코드 삽입) 이번에 확인된 악성코드의 동작방식은 7월 15일에 ‘코로나 예측 결과’ 위장하여 유포된 엑셀문서 악성코드(https://asec.ahnlab.com/1355) 사례와 유사한 것으로 확인되었다. 자료실의 유틸리티 항목에 다음과 같이 첨부파일을 포함한 게시글을 업로드하였다. 해당 게시글은 특정 유틸리티 프로그램을 소개하는 내용으로 이루어져 있으며 첨부파일 내부에는 악성코드가 존재한다. 첨부파일…

견적, 구매 메일로 위장해 유포되는 Formbook 악성코드

Formbook 악성코드는 2017년 처음 보고된 이후 현재까지도 꾸준히 유포되고 있는 정보 탈취 유형의 악성코드이다. 최근에는 주로 견적 구매 관련 메일로 위장하여 유포되고 있다. 메일에는 압축된 첨부파일이 포함되어 있으며 압축파일 내부에는 악성코드 실행 파일이 존재한다. 단순한 방식으로 유포되지만 유포량은 전체 악성코드 샘플 중에서 큰 비중을 차지하기 때문에 주의가 필요하다. https://asec.ahnlab.com/1343 ASEC 분석팀에서는 Formbook 악성코드 유포에 사용되는 대표적인 악성 메일과 첨부된 악성코드에 대한 분석 정보를 소개하고자 한다. 악성 메일은 위와 같이 견적, 구매, 주문, 발주, 선적 등의 키워드로 주로 유포되며 사용자가 메일을…