스팸 메일로 유포되는 정보탈취 악성코드(AgentTesla) Posted By ohmintaek , 2023년 9월 27일 AhnLab Security Emergency response Center(ASEC)은 메일을 통해 악성 BAT파일로 유포되는 AgentTesla 정보 탈취 악성코드의 유포 정황을 발견했다. BAT파일은 실행되면 AgentTesla(EXE)를 사용자 PC에 생성하지 않고 실행하는 파일리스(Fileless) 기법으로 실행된다. 해당 블로그를 통해 스팸 메일로부터 최종 바이너리(AgentTesla)까지 유포되는 동작 흐름 및 관련 기법에 관해 설명한다. [그림 1]은 AgentTesla 악성코드를 유포하는 스팸메일 본문이다. 다른 이메일 계정을 통해 발신한다는 제목으로 수신자를 속여 악성파일(.BAT)의 실행을 유도했다. 첨부된 zip 압축 파일 내부에는 [그림 2] 와 같이 배치 스크립트 파일(.BAT)이 포함되어 있다. BAT 파일은 실행시 윈도우 응용프로그램인…
3CX DesktopApp 사용 주의 (CVE-2023-29059) Posted By choeyul , 2023년 4월 3일 개요 3CX DesktopApp을 통해 공급망 공격이 이루어졌다는 내용이 공개되었다.[1] 해당 소프트웨어는 통화, 화상 회의 등 사용자에게 여러 통신 기능을 제공하며 Windows, MAC 운영체제 환경에서 구동이 가능하다. 현재 3CX 업체에서는 새로운 인증서를 발급하기 위하여 준비 중이며 그 전까지는 다른 소프트웨어를 대체하여 사용할 것을 가이드하고 있다. 설명 관련하여 유포된 악성코드는 악의적인 기능을 수행하는 모듈들을 포함한 MSI, DMG 형태의 설치 파일인 것으로 확인된다. 3CXDesktopApp.exe가 악성 모듈인 ffmpeg.dll을 로드하고, 이후 d3dcompiler.dll를 추가 로드하여 메모리 상에서 실행한다. 메모리 상에서 실행되는 악성코드는 다운로더로서 최종적으로 정보 탈취형…
인포스틸러 공격자들이 수익을 얻는 방식 Posted By Sanseo , 2022년 12월 26일 인포스틸러는 정보 탈취형 악성코드로서 웹 브라우저나 이메일 클라이언트 같은 프로그램에 저장되어 있는 사용자 계정 정보나 가상화폐 지갑 주소, 파일과 같은 사용자의 정보들을 탈취하는 것이 목적인 악성코드이다. 2022년 3분기 ASEC 리포트에 따르면, 인포스틸러는 실행 파일 포맷 기준 고객사로부터 접수되거나 수집된 악성코드 유형 중 절반이 넘는 수를 차지하고 있다. 다운로더 유형의 악성코드들도 실질적으로 인포스틸러나 백도어 유형의 악성코드들을 설치하기 때문에 유포되는 수량으로 따지자면 일반 사용자나 기업 사용자들을 대상으로 하는 공격의 대부분을 차지한다고 할 수 있다.[1] 일반적으로 인포스틸러는 상용 소프트웨어의 크랙, 시리얼 생성 프로그램의…
진단 회피를 목적으로 교묘하게 조작된 워드파일 유포 (External+RTF) Posted By ASEC , 2022년 11월 3일 MS Office Word 문서의 External 외부 연결 접속을 가능한 점을 이용하여, 추가적인 RTF 악성코드를 유포하는 악성 워드파일은 꽤 오래전부터 지속적으로 확인되어왔다. 하지만, 최근 안티바이러스 제품의 진단을 회피하기 위한 것으로 추정되는 파일들이 국내에 다수 유포되는 정황이 확인되어 이를 알리고자 한다. 업무상 목적으로 위장한 이메일에 워드파일을 첨부한 것은 크게 다르지 않으나, OOXML(Office Open XML) 포맷 내부에서 확인할 수 있는 webSettings.xml.rels 파일에서 특이점이 존재한다. 아래와 같이 문서 실행 시 자동으로 연결되는 External URL은 그동안 유포되던 일반적인 형태의 URL이 아님을 알 수 있다. 해당…
.NET 외형의 FormBook 악성코드 유포 중 Posted By ASEC , 2022년 10월 19일 안랩 V3 제품에는 악성코드 위협으로부터 사용자를 보호하기 위한 다양한 탐지 기능이 있다. 이 중 ‘앱 격리 검사 (App Isolate Scan)’ 기능은 의심 프로세스에 대한 탐지 및 격리를 제공하는 기능으로서, 랜섬웨어 외 인포스틸러나 다운로더 등의 악성코드를 가상 환경에 격리하여 탐지할 수 있다. 안랩 ASD 인프라에 아직 수집되지 않았거나 악성코드의 정적, 동적 행위 패턴이 확인되지 않은 악성코드를 선제적으로 격리하여 사용자를 보호할 수 있는 장점이 있다. 아래 소개하는 FormBook(폼북) 악성코드는 사용자가 웹 브라우저 이용 도중 시스템에 다운로드 되어 실행된 악성코드이다. 이후 V3 제품의…
