‘코로나바이러스 피해 소상공인 경영안정자금’ 이름의 한글문서 유포 Posted By ASEC , 2020년 12월 15일 ASEC 분석팀은 현재 코로나19로 어려움을 겪고있는 소상공인을 대상으로 악성 한글 문서를 유포하는 정황을 포착하였다. 공격자는 한글 문서에 악성 PostScript를 삽입하거나 악성 OLE 개체를 삽입하였으며, 다음과 같은 파일명을 통해 악성 문서를 유포한 것으로 확인 되었다. 코로나바이러스감염증-19 피해 소상공인 경영안정자금 공고.hwp 2020년 중소벤처기업부 소관 소상공인 정책자금 융자계획 변경 공고.hwp 발주서(산단)_컴퓨터 2대.hwp 최근거래내역.hwp 실제 공격에 사용된 한글 문서 파일은 수집되지 않았지만, 위에서 언급한 파일명 중 “코로나바이러스감염증-19 피해 소상공인 경영안정자금 공고.hwp”의 경우 중소벤처기업부 공식 사이트에서 [그림 1]과 같은 동일한 파일명의 한글 문서 파일을 확인할…
‘원산지 조사 자율 점검표’ 한글(HWP) 악성코드 유포 Posted By ASEC , 2020년 7월 24일 ASEC 분석팀은 7월 23일 악성 EPS를 포함한 한글 문서가 유포되고 있음을 확인하였다. 문서에 포함된 악성 PS(Post Script)파일의 주요 행위는 7월 15일 아래의 글을 통해 확인한 코로나 예측 결과 위장 엑셀문서와 유사하다. 해당 문서에는 원산지 조사 자율 점검표가 존재하며, 문서 정보로 보아 실제 ‘국가법령정부센터’에서 제공한 문서를 악의적으로 가공한 것으로 추정된다. https://asec.ahnlab.com/1355 한글문서 첫 페이지 우측 상단에는 아래의 그림과 같이 사용자가 알아차리기 어려운 형태로 PS 파일이 존재한다. 해당 PS 파일에는 7월 15일에 공유한 코로나 예측결과 관련 악성 엑셀(xls) 문서와 유사한 CMD 명령어를 수행하는…
코로나 문구가 포함된 랜섬웨어 국내발견 (.corona-lock 확장자) Posted By ASEC , 2020년 5월 22일 ASEC 분석팀은 5월22일 BlueCrab, Nemty 등과 동일한 외형 정보로 국내 유포되는 신규 랜섬웨어를 발견하였다. 해당 랜섬웨어는 암호화시 원본 확장자 이름에 코로나 문구를 포함한 “.corona-lock” 확장자로 변경하며 백업과 관련된 파일들을 삭제하여 복구가 불가능하게 한다. 랜섬노트는 바탕화면에 생성되며 아래와 같이 암호화된 파일 목록이 포함되어 있다. 랜섬노트 (README_LOCK.TXT) 해당 랜섬웨어는 암호화전 프로세스 및 서비스 목록을 검사하여 존재할 경우 종료 혹은 멈추는 행위를 수행한다. 프로세스 종료 및 서비스 종료 목록 프로세스 종료 대상 wxServer.exe wxServerView sqlservr.exe sqlmangr.exe RAgui.exe supervise.exe Culture.exe RTVscan.exe Defwatch.exe sqlbrowser.exe winword.exe Winword.exe…
‘코로나바이러스 대응 긴급조회’ 한글문서 악성코드 유포 Posted By ASEC , 2020년 4월 2일 ASEC분석팀은 ‘코로나바이러스 대응 긴급조회’로 위장한 악성 문서파일을 발견하였다. 과거 악성 문서파일들의 경우 Office 의 매크로 기능을 악용하여 사용자에게 콘텐츠 사용을 유도하는 방식을 주로 이용하였다. 감염병관리지원단 위장 악성 한글파일 그러나 이와 달리 4월 1일 발견된 문서 파일은 한글 파일을 사용하며, 전라남도 감염병관리지원단 을 사칭한 파일로 주의가 필요하다. 이 뿐만 아니라 인천광역시 감염병관리지원단을 사칭한 파일도 발견되고 있다. 이처럼 악성코드 제작자는 다양한 기관들을 사칭하고 있다. 악성 스크립트 실행 한글 파일은 EPS(EncapEncapsulated Postscript) 파일을 포함하고 있으며 powershell.exe을 이용해 외부 URL 접속하여 추가 악성코드를 다운로드…
CoronaVirus 랜섬웨어에 의한 윈도우 복구 무력화 Posted By ASEC , 2020년 3월 25일 ASEC 분석팀은 감염 시, CoronaVirus.txt 이름의 랜섬노트를 생성하는 랜섬웨어가 국내에 유포 중인 것을 확인하였다. 아래의 그림에서 알 수 있듯이 암호화된 사용자의 파일의 복구를 댓가로 비트코인 지불(0.008 btc: 50$)을 요구한다. 지불을 위한 제작자와의 통신은 이메일을 통해 이루어지며, coronaVi2022@protonmail.ch 로 확인되었다. 랜섬노트 마지막의 “desine sperare qui hic intras”는 라틴어로 “여기에서 우리는 희망을 포기”라는 의미이다. CORONAVIRUS 랜섬웨어 랜섬노트 해당 랜섬웨어 실행 시, 분석팀 자동분석 시스템 RAPIT에서는 아래와 같이 프로세스 실행 흐름을 보여준다. 자사 동적 분석 머신 (RAPIT) 의 동적 분석 결과 중 일부 …
