Kimsuky 그룹, 약력 양식 파일로 위장한 악성코드 유포 (GitHub) Posted By Vanish , 2023년 3월 23일 AhnLab Security Emergency response Center(ASEC)에서는 특정 교수를 사칭하여 약력 양식 내용으로 위장한 워드 문서를 이메일을 통해 유포한 것을 확인했다. 확인된 워드 문서의 파일명은 ‘[붙임] 약력 양식.doc’이며 문서에는 암호가 설정되어 있는데 이메일 본문에 비밀번호가 포함되어 있다. 워드 문서 내에 악성 VBA 매크로가 포함되어 있으며 매크로 활성화 시 PowerShell을 통해 C2에 접속하여 추가 스크립트를 다운로드 및 실행한다. 최종적으로 실행되는 악성코드 유형은 뉴스 설문지로 위장하여 유포 중인 악성 워드 문서에서 확인된 유형과 일치하며 브라우저에 저장된 정보를 수집한다. 하지만,…
Nevada 랜섬웨어 국내 유포 중 Posted By ASEC_SK , 2023년 3월 16일 AhnLab Security Emergency response Center(ASEC)은 내부 모니터링 중, Nevada 랜섬웨어의 유포 정황을 확인하였다. Nevada 랜섬웨어는 Rust 기반으로 작성된 악성코드이며 감염 시, 감염된 파일에 “.NEVADA” 확장자가 추가되는 특징을 갖는다. 또한 암호화를 수행한 각 디렉터리에 “README.txt” 이름으로 랜섬노트를 생성하며, 랜섬노트 내에 지불을 위한 Tor 브라우저 링크가 존재한다. 1. Nevada 랜섬웨어 주요 기능 해당 랜섬웨어는 하단의 그림과 같이 세부 실행 방식 지정을 위한 커맨드 기반 옵션을 지원하고 있다. 별도의 옵션을 지정하지 않고 실행 시, 모든 드라이브를 순회하며 암호화만을 진행하지만 “file’, “dir” 옵션 지정을…
Mallox 랜섬웨어 국내 유포 중 Posted By kwonxx , 2023년 3월 9일 ASEC(AhnLab Security Emergency response Center)은 모니터링 중 최근 Mallox 랜섬웨어가 유포중인 것을 확인하였다. 이전에도 소개된 바와 같이 취약한 MS-SQL 서버를 대상으로 유포되는 Mallox 랜섬웨어는 자사 통계 기준으로 과거부터 꾸준히 높은 비율로 유포되고 있는 것을 확인할 수 있다. DirectPlay 관련 프로그램으로 위장한 악성코드는 닷넷으로 빌드된 파일로 [그림 3]과 같이 특정 주소로 접속하여 추가 악성코드를 다운로드해 메모리 상에서 동작시킨다. 이 과정에서 특정 주소에 접속이 되지 않을 경우 무한 반복문을 통해 접속을 시도한다. 본 블로그에서 소개하는 악성코드 역시 현재는 추가 악성코드를 다운로드하는 주소에…
복호화 가능한 iswr 랜섬웨어 국내 유포중 Posted By song.th , 2023년 3월 2일 ASEC(AhnLab Security Emergency response Center)은 모니터링 중 최근 iswr 랜섬웨어가 유포중인 것을 확인하였다. iswr 랜섬웨어는 파일 암호화 시 파일명 뒤에 iswr이라는 확장자가 추가로 붙는 특징을 가지고 있으며, 해당 랜섬웨어의 랜섬노트는 STOP 랜섬웨어와 똑같은 형태를 가지고 있지만, 암호화 방식이나 암호화 대상 확장자 및 폴더와 같은 랜섬웨어 동작 루틴이 STOP 랜섬웨어와 많이 다르다. 암호화는 랜섬웨어가 실행되고 25초 후 작동하며, 파일 크기가 대체적으로 작은 확장자를 가진 파일들을 먼저 암호화 시키고, 그 다음 파일 크기가 대체적으로 큰 확장자를 가진 파일들을 암호화 시킨다. 암호화 대상은…
달빗(Dalbit,m00nlight): 중국 해커 그룹의 APT 공격 캠페인 Posted By kingkimgim , 2023년 1월 31일 0. 개요 해당 내용은 2022년 8월 16일에 공개된 ‘국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹’ 블로그의 연장선으로, 해당 그룹의 행보를 추적한 내용이다. 이 그룹은 과거부터 지금까지 오픈 소스 도구를 주로 사용하고 PDB 등에 정보가 없어 프로파일링의 명확한 특징이 부족했다. 또한 C2(Command&Control) 서버는 국내 기업 서버를 악용하여 피해 기업이 조사를 따로 요청하지 않는 경우 수집할 수 있는 정보가 한정적이었다. 허나 블로그가 공개되고 공격자가 사용 중이던 국내 기업 서버가 일부 차단되자 공격자는 ‘*.m00nlight.top’ 라는 이름의 호스팅 서버를 C2 및 다운로드…
