악성코드

달빗(Dalbit,m00nlight): 중국 해커 그룹의 APT 공격 캠페인

  0. 개요 해당 내용은 2022년 8월 16일에 공개된 ‘국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹’ 블로그의 연장선으로, 해당 그룹의 행보를 추적한 내용이다. 이 그룹은 과거부터 지금까지 오픈 소스 도구를 주로 사용하고 PDB 등에 정보가 없어 프로파일링의 명확한 특징이 부족했다. 또한 C2(Command&Control) 서버는 국내 기업 서버를 악용하여 피해 기업이 조사를 따로 요청하지 않는 경우 수집할 수 있는 정보가 한정적이었다. 허나 블로그가 공개되고 공격자가 사용 중이던 국내 기업 서버가 일부 차단되자 공격자는 ‘*.m00nlight.top’ 라는 이름의 호스팅 서버를 C2 및 다운로드…

TZW 랜섬웨어 국내 유포 중

ASEC 분석팀은 최근 내부 모니터링을 통해, 파일 암호화 후 원본 확장자 이름에 “TZW” 확장자를 추가하는 TZW 랜섬웨어가 유포되는 것을 확인하였다. 해당 랜섬웨어는 버전 정보 상 “System Boot Info” 라고 명시하여 부트 정보 관련 프로그램인 것처럼 정상 파일로 위장하여 유포되고 있다. 닷넷 형태로 제작되었으며 내부에 로더와 실제 랜섬웨어 데이터를 포함한다. 로더를 통해 랜섬웨어 파일을 최종적으로 로드하여 실행하는 구조이다. 리소스 영역의 존재하는 데이터 중 ‘dVvYsaL’를 메모리 상에서 디코딩하여 파일을 실행시키는데 이 데이터가 바로 로더와 랜섬웨어 데이터를 포함한다. 이와 같은 방식은 기존 ASEC…

Microsoft OneNote를 통해 유포되는 악성코드 분석 보고서

본 문서는 최근 Microsoft OneNote를 활용하여 활발하게 유포되는 악성코드에 대한 분석 보고서이다. ASEC 분석팀은 지난해 11월부터 급격하게 증가한 OneNote 악성코드의 유포 동향을 확인하였고, 파일을 실제 실행했을 때의 화면을 기반으로 제작 정도의 정교함에 따라 나누었다. 즉, ‘1) 간단한 블록 이미지로 악성 개체를 은닉한 유형’ 과 ‘2) 보다 더 정교하게 제작한 악성 OneNote 유형’ 으로 분류하였는데, 예시 샘플에 대한 이미지는 다음과 같다. 1) 간단한 블록 이미지로 악성 개체를 은닉한 유형 2) 보다 더 정교하게 제작한 악성 OneNote 유형 이어서, 실제 악성 행위를…

ASEC 주간 악성코드 통계 (20221212 ~ 20221218)

ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 12월 12일 월요일부터 12월 18일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 61.9%로 1위를 차지하였으며, 그 다음으로는 인포스틸러가 24.7%, 백도어 12.5%, 랜섬웨어 0.9%로 집계되었다. Top 1 – SmokeLoader Smokerloader는 인포스틸러 / 다운로더 악성코드이며 익스플로잇 킷을 통해 유포된다. 이번 주는 28.9%를 차지하며 1위에 올랐다. 익스플로잇 킷을 통해 유포되는 다른 악성코드와 마찬가지로 MalPe 외형을 갖는다. 실행되면 explorer.exe에 자기 자신을…

국내 유명 금융 앱 사칭한 피싱공격

ASEC 분석팀은 최근 금융권의 정상 웹사이트를 타겟으로 한 악성 도메인들이 다수 생성된 정황을 확인하였다. 지난 11월 초부터 아래와 같이 네이버 고객센터를 사칭한 피싱메일의 유포가 다수 확인되었고, 이를 통해 해당 메일에 포함된 악성URL을 모니터링 하고 있었다.보낸사람의 Username은 ‘Naver센터’ 였으며, 내용은 연락처 변경알림 / 새 일회용번호 생성알림 / 타지역 로그인 알림 / 메일함용량 초과알림 / 접속시도 차단알림 등의 일반 사용자를 속이기 위한 다양한 내용이 확인되었다. 위의 첨부한 그림에서 ‘휴대전화 번호 확인하러 가기’ 링크를 클릭하면, 네이버 로그인화면을 사칭한 페이지가 확인되고 해당 페이지에 계정정보를…