악성코드

지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향 (1)

ASEC 분석팀에서는 악성 매크로 파일에 대해 지속적으로 소개하며 사용자들의 주의를 당부하고 있다. 최근 TA551 공격그룹에서 유포한 유형의 워드 매크로 파일에서 평균 일주일 간격의 변형이 발생하는 것이 확인되어 이를 소개하려 한다. TA551 그룹은 악성코드 유포를 위해 악성 매크로가 포함된 문서를 첨부한 이메일을 주로 활용한다. 문서 매크로 허용 시 HTA 파일을 드롭한 후 추가 악성코드를 내려받는 DOC 파일 자체의 동작 방식은 동일하며, 변형의 주요 골자는 추가로 내려받는 악성코드의 종류에 있다. 위에서 도식화하여 표현한 악성 매크로 동작방식을 설명하면 다음과 같다. 공격자는 악성 DOC…

타겟형 공격 <사례비지급 의뢰서> 악성 워드문서 유포

APT 타겟형 공격으로 추정되는 <사례비지급 의뢰서> 내용의 악성 워드 문서가 다시 유포되었다. 똑같은 문서 내용의 악성코드는 지난 3월에도 발견되어 ASEC블로그에 관련 분석 내용을 공개하였다. 이번에 발견된 워드 문서는 최근에 만들어졌으며, 기존 공격과 내용은 동일하지만 동작 방식에서 차이가 있었다. 본 글에서는 새로 발견된 <사례비지급 의뢰서> 악성 문서 파일의 기능과 특징, 그리고 동일한 공격자(제작자)가 만들었을 것으로 강하게 추정되는 연관 파일에 대해 설명한다 파일명: 사례비지급 의뢰서(양식).doc SHA256: 811b42bb169f02d1b0b3527e2ca6c00630bebd676b235cd4e391e9e595f9dfa8 최초 작성자: Network Group 최종 수정자: Naeil_영문시작 문서 생성일: 2021-03-02 09:01:00 최종 수정일: 2021-06-07 02:23:00Z…

불특정 다수 대상 메일로 유포중인 악성 엑셀 매크로 주의!

ASEC 분석팀은 최근 동일한 유형의 악성 매크로를 포함한 엑셀 파일이 불특정 다수에게 메일을 통해 유포되고 있는 것을 포착하여 이를 소개하려고 한다. 이러한 유형의 엑셀 파일 내부에는 악성코드를 추가적으로 다운로드 받도록 하는 매크로가 포함되어있으며, 최근에는 불특정 다수를 대상으로 하는 회신메일에 협박성 문구와 악성 엑셀매크로 파일을 첨부한 것으로 확인되었다. 확보한 EML 3개의 공통점으로는 사용자 메일에 대한 회신인 것처럼 속여 악성 매크로 엑셀파일을 유포하고 있다. 세 번째 이미지에서 알 수 있듯이 ‘위암 국제 학술대회(KINGCA week 2021)’ 초대메일에 대한 회신으로 위장하여 수신자로 하여금 메일을…

기업 사용자를 대상으로 하는 거래명세서(Invoice)사칭 피싱메일 주의!

ASEC 분석팀에서는 피싱메일과 관련된 내용을 블로그에 지속적으로 소개하며 사용자들의 주의를 당부하고 있다. 공격자는 피싱메일을 통해 악성코드를 유포하는 것 뿐만 아니라 사용자 계정정보의 탈취가 가능하기 때문이다. 공격자는 사용자를 속이기 위해서 점점 더 교묘한 방법을 사용하고 있는데, 최근 ASEC 분석팀은 기업 사용자를 대상으로 더욱 더 교묘해진 거래명세서(Invoice) 사칭 피싱메일을 발견하여 이를 소개하려고 한다. 위의 그림과 같이 메일 내부에는 첨부 파일로 보이는 PDF 와 XLS 파일이 존재한다. 그림 영역을 선택한 점선 박스를 자세히 확인해보면 첨부 파일로 위장한 캡쳐 이미지 한 개에 하이퍼링크를 삽입한…

비트코인 무료 나눔을 가장한 우크라이나 국방부 타겟 공격

ASEC 분석팀은 비트코인 무료나눔을 가장한 악성 메일이 우크라이나 국방부 특정인을 타겟으로 유포된 것을 확인하였다. 최근 사회에서 화두가 되고 있는 가상화폐 주제를 악용한 것과, 최종 악성코드를 내려받기까지 다양한 방법을 혼합한 것이 특징이라고 할 수 있다. 메일 내에 첨부 되어있는 PDF 파일을 내려받으면 아래와 같이 비트코인을 무료로 받을 수 있다는 내용과 단축 URL이 링크 되어있다. PDF 파일에 존재하는 URL 링크는 세 개이며, 셋 중 어느 것을 클릭해도 동일한 주소로 접속하게 된다. 현재는 단축 URL과 최종 접속 URL 모두 존재하지 않는 페이지로 확인되지만,…