진단 회피를 목적으로 교묘하게 조작된 워드파일 유포 (External+RTF) Posted By ASEC , 2022년 11월 3일 MS Office Word 문서의 External 외부 연결 접속을 가능한 점을 이용하여, 추가적인 RTF 악성코드를 유포하는 악성 워드파일은 꽤 오래전부터 지속적으로 확인되어왔다. 하지만, 최근 안티바이러스 제품의 진단을 회피하기 위한 것으로 추정되는 파일들이 국내에 다수 유포되는 정황이 확인되어 이를 알리고자 한다. 업무상 목적으로 위장한 이메일에 워드파일을 첨부한 것은 크게 다르지 않으나, OOXML(Office Open XML) 포맷 내부에서 확인할 수 있는 webSettings.xml.rels 파일에서 특이점이 존재한다. 아래와 같이 문서 실행 시 자동으로 연결되는 External URL은 그동안 유포되던 일반적인 형태의 URL이 아님을 알 수 있다. 해당…
ASEC 주간 악성코드 통계 (20221024 ~ 20221030) Posted By ASEC , 2022년 11월 1일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 10월 24일 월요일부터 10월 30일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 43.2%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 34.7%, 백도어 19.4%, 랜섬웨어 2.2%로 집계되었다. Top 1 – Agent Tesla 인포스틸러 악성코드인 AgentTesla가 22.1%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일(SMTP)을 활용하며 FTP나 Discord API 등을…
원자력 발전소 관련 기업 대상으로 AppleSeed 유포 Posted By ASEC , 2022년 10월 27일 ASEC 분석팀은 최근 원자력 발전소 관련 기업 대상으로 AppleSeed 악성코드를 유포하는 정황을 확인하였다. AppleSeed는 북한 관련 조직 중 하나인 Kimsuky 에서 사용하는 백도어 악성코드로 여러 기업을 타겟으로 활발히 유포하고 있다. 이번에 ASEC 분석팀에서 확인된 AppleSeed 드롭퍼 파일명은 아래와 같으며, 사용자를 속이기 위하여 이중 확장자를 사용하였다. 파일을 실행하면 내부에 있는 인코딩 데이터를 디코딩하여 아래 경로에 파일이 각각 생성된다. 파일로 출력된 엑셀 파일을 자동으로 실행시켜 사용자가 정상적인 엑셀 문서를 열람한 것처럼 보이도록 하였다. 미끼 엑셀 파일의 본문은 아래와 같으며, 내용에 원자력 발전소…
ASEC 주간 악성코드 통계 (20221017 ~ 20221023) Posted By ASEC , 2022년 10월 26일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 10월 17일 월요일부터 10월 23일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 인포스틸러가 52.7%로 1위를 차지하였으며, 그 다음으로는 다운로더 악성코드가 37.0%, 백도어 8.8%, 랜섬웨어 1.0%, 뱅킹 악성코드가 0.5%로 집계되었다. Top 1 – Agent Tesla 인포스틸러 악성코드인 AgentTesla가 23.4%로 1위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. 수집한 정보 유출 시 메일(SMTP)을 활용하며 FTP나…
ASEC 주간 악성코드 통계 (20221010 ~ 20221016) Posted By ASEC , 2022년 10월 21일 ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2022년 10월 10일 월요일부터 10월 16일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다. 대분류 상으로는 다운로더가 44.4%로 1위를 차지하였으며, 그 다음으로는 인포스틸러 악성코드가 41.7%, 백도어 12.5%, 랜섬웨어 0.9%, 코인마이너가 0.5%로 집계되었다. Top1. SmokeLoader Smokerloader는 인포스틸러 / 다운로더 악성코드이며 익스플로잇 킷을 통해 유포된다. 이번 주는 18.1%를 차지하며 1위에 올랐다. 익스플로잇 킷을 통해 유포되는 다른 악성코드와 마찬가지로 MalPe 외형을 갖는다. 실행되면 explorer.exe에 자기…
