악성코드

Mallox 랜섬웨어 국내 유포 중

Posted By ,

ASEC(AhnLab Security Emergency response Center)은 모니터링 중 최근 Mallox 랜섬웨어가 유포중인 것을 확인하였다. 이전에도 소개된 바와 같이 취약한 MS-SQL 서버를 대상으로 유포되는 Mallox 랜섬웨어는 자사 통계 기준으로 과거부터 꾸준히 높은 비율로 유포되고 있는 것을 확인할 수 있다. DirectPlay 관련 프로그램으로 위장한 악성코드는 닷넷으로 빌드된 파일로 [그림 3]과 같이 특정 주소로 접속하여 추가 악성코드를 다운로드해 메모리 상에서 동작시킨다. 이 과정에서 특정 주소에 접속이 되지 않을 경우 무한 반복문을 통해 접속을 시도한다. 본 블로그에서 소개하는 악성코드 역시 현재는 추가 악성코드를 다운로드하는 주소에…

복호화 가능한 iswr 랜섬웨어 국내 유포중

Posted By ,

ASEC(AhnLab Security Emergency response Center)은 모니터링 중 최근 iswr 랜섬웨어가 유포중인 것을 확인하였다. iswr 랜섬웨어는 파일 암호화 시 파일명 뒤에 iswr이라는 확장자가 추가로 붙는 특징을 가지고 있으며, 해당 랜섬웨어의 랜섬노트는 STOP 랜섬웨어와 똑같은 형태를 가지고 있지만, 암호화 방식이나 암호화 대상 확장자 및 폴더와 같은 랜섬웨어 동작 루틴이 STOP 랜섬웨어와 많이 다르다. 암호화는 랜섬웨어가 실행되고 25초 후 작동하며, 파일 크기가 대체적으로 작은 확장자를 가진 파일들을 먼저 암호화 시키고, 그 다음 파일 크기가 대체적으로 큰 확장자를 가진 파일들을 암호화 시킨다. 암호화 대상은…

달빗(Dalbit,m00nlight): 중국 해커 그룹의 APT 공격 캠페인

Posted By ,

  0. 개요 해당 내용은 2022년 8월 16일에 공개된 ‘국내 기업 타겟의 FRP(Fast Reverse Proxy) 사용하는 공격 그룹’ 블로그의 연장선으로, 해당 그룹의 행보를 추적한 내용이다. 이 그룹은 과거부터 지금까지 오픈 소스 도구를 주로 사용하고 PDB 등에 정보가 없어 프로파일링의 명확한 특징이 부족했다. 또한 C2(Command&Control) 서버는 국내 기업 서버를 악용하여 피해 기업이 조사를 따로 요청하지 않는 경우 수집할 수 있는 정보가 한정적이었다. 허나 블로그가 공개되고 공격자가 사용 중이던 국내 기업 서버가 일부 차단되자 공격자는 ‘*.m00nlight.top’ 라는 이름의 호스팅 서버를 C2 및 다운로드…

TZW 랜섬웨어 국내 유포 중

Posted By ,

ASEC 분석팀은 최근 내부 모니터링을 통해, 파일 암호화 후 원본 확장자 이름에 “TZW” 확장자를 추가하는 TZW 랜섬웨어가 유포되는 것을 확인하였다. 해당 랜섬웨어는 버전 정보 상 “System Boot Info” 라고 명시하여 부트 정보 관련 프로그램인 것처럼 정상 파일로 위장하여 유포되고 있다. 닷넷 형태로 제작되었으며 내부에 로더와 실제 랜섬웨어 데이터를 포함한다. 로더를 통해 랜섬웨어 파일을 최종적으로 로드하여 실행하는 구조이다. 리소스 영역의 존재하는 데이터 중 ‘dVvYsaL’를 메모리 상에서 디코딩하여 파일을 실행시키는데 이 데이터가 바로 로더와 랜섬웨어 데이터를 포함한다. 이와 같은 방식은 기존 ASEC…

Microsoft OneNote를 통해 유포되는 악성코드 분석 보고서

Posted By ,

본 문서는 최근 Microsoft OneNote를 활용하여 활발하게 유포되는 악성코드에 대한 분석 보고서이다. ASEC 분석팀은 지난해 11월부터 급격하게 증가한 OneNote 악성코드의 유포 동향을 확인하였고,파일을 실제 실행했을 때의 화면을 기반으로 제작 정도의 정교함에 따라 나누었다. 즉, ‘1) 간단한 블록 이미지로 악성 개체를 은닉한 유형’ 과 ‘2) 보다 더 정교하게 제작한 악성 OneNote 유형’ 으로 분류하였는데, 예시 샘플에 대한 이미지는 다음과 같다. 1) 간단한 블록 이미지로 악성 개체를 은닉한 유형 2) 보다 더 정교하게 제작한 악성 OneNote 유형 이어서, 실제 악성 행위를 수행하는…