국내 기업 대상의 귀신(Gwisin) 랜섬웨어 Posted By ASEC , 2022년 7월 27일 최근 국내 기업을 대상으로 한 귀신(Gwisin) 랜섬웨어 피해가 증가하고 있다. 이 랜섬웨어는 특정 기업을 타겟으로 제작되어 유포되고 있으며, 매그니베르(Magniber)와 동일하게 MSI 설치 파일 형태로 동작한다. 불특정 다수를 대상으로 유포되는 매그니베르와 달리 귀신 랜섬웨어는 파일 단독 실행 만으로는 행위가 발현되지 않고, 특별한 실행 인자 값이 필요하다. 이러한 인자 값은 MSI 내부에 포함된 DLL 파일의 구동에 필요한 키 정보로 활용된다. 이러한 동작 방식의 특징으로 인해 다양한 샌드박스 환경의 보안 제품에서는 파일 실행만으로 랜섬웨어 행위가 발생하지 않음으로 탐지가 어려울 수 있다. 또한,내부 DLL…
타겟형 공격 <사례비지급 의뢰서> 악성 워드문서 유포 Posted By ASEC , 2021년 6월 9일 APT 타겟형 공격으로 추정되는 <사례비지급 의뢰서> 내용의 악성 워드 문서가 다시 유포되었다. 똑같은 문서 내용의 악성코드는 지난 3월에도 발견되어 ASEC블로그에 관련 분석 내용을 공개하였다. 이번에 발견된 워드 문서는 최근에 만들어졌으며, 기존 공격과 내용은 동일하지만 동작 방식에서 차이가 있었다. 본 글에서는 새로 발견된 <사례비지급 의뢰서> 악성 문서 파일의 기능과 특징, 그리고 동일한 공격자(제작자)가 만들었을 것으로 강하게 추정되는 연관 파일에 대해 설명한다 파일명: 사례비지급 의뢰서(양식).doc SHA256: 811b42bb169f02d1b0b3527e2ca6c00630bebd676b235cd4e391e9e595f9dfa8 최초 작성자: Network Group 최종 수정자: Naeil_영문시작 문서 생성일: 2021-03-02 09:01:00 최종 수정일: 2021-06-07 02:23:00Z…
한글 파일 제로 데이(Zero-Day) 취약점 악용 공격 Posted By ASEC , 2013년 1월 29일 2012년도에는 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하는 취약점을 악용한 타깃 공격(Target Attack)이 예년에 비해 비교적 크게 증가하였다. 이 중에는 기존에 알려지지 않은 제로 데이(Zero Day, 0-Day)을 악용한 공격 형태도 2012년 6월과 11월에 발견될 정도로 한글 소프트웨어 취약점을 악용한 공격의 위험성이 증가하고 있다. 2012년 6월 – 한글 제로데이 취약점을 악용한 악성코드 유포 2012년 11월 – 국방 관련 내용의 0-Day 취약점 악용 한글 파일 이러한 한글 소프트웨어에 존재하는 기존에 알려지지 않은 제로 데이 취약점을 악용한 공격이 1월 25일경 다시 발견되었다. 이 번에 발견된 한글 소프트웨어의 제로 데이 취약점을 악용하는 취약한 한글 파일은 아래 이미지와 같이 다수의 개인 정보를 포함한 형태로 발견되었다. 해당 취약한 한글 파일은 아래 이미지와 동일한 같은 구조를 갖고 있으며, 이 중 “BinData” 항목의 “BIN0001.bmp” 라는 비정상적인 이미지를 파싱하는 과정에서 취약점이 발생하게 된다. 이로…
이스라엘 정부 기관 대상의 타겟 공격 발생 Posted By ASEC , 2012년 11월 1일 이스라엘 언론인 The Times of Israle의 “How Israel Police computers were hacked: The inside story“을 통해 이스라엘 정부 기관을 대상으로 한 타겟 공격(Targeted Attack)이 발생하였음이 공개되었다. 이러한 정부 기관을 대상으로 한 타겟 공격은 최근에는 10월 18일 대만 기상청을 대상으로한 타겟 공격이 발견된 사례가 있다. 특히 이 번에 발견된 이스라엘 정부 기관을 대상으로 한 타겟 공격은 대만 기상청을 대상으로 한 타겟 공격과 유사한 형태로 이메일을 통해 시작되었다. 이스라엘 정부 기관을 대상으로한 타겟 공격에 사용된 이메일은 다음과 같은 메일 형식을 가지고 있는 것으로 트렌드 마이크로(Trend Micro)에서 블로그 “Xtreme RAT Targets Israeli Government“를 통해 밝히고 있다. 발신인 – bennygantz59.gmail.com 이메일 제목 – IDF strikes militants in Gaza Strip following rocket barrage 첨부 파일명 – Report & Photos.rar 첨부된 Report & Photos.rar의 압축을 풀게 되면 “IDF strikes militants in…
대만 기상청을 대상으로한 타겟 공격 발견 Posted By ASEC , 2012년 10월 18일 어도비 리더(Adobe Reader)와 마이크로소프트 오피스(Microsoft Office)와 같은 전자 문서에 존재하는 취약점을 악용하여 악성코드 감염을 시도하는 사례들은 지속적으로 발견되고 있다. 10월 17일 ASEC에서는 대만의 기상청 내부 직원을 대상으로한 타겟 공격(Targeted Attack)이 발생하였음을 발견하였다. 이번 대만 기상청의 내부직원을 대상으로한 타겟 공격은 아래 이미지와 동일한 이메일을 통해 진행되었다. 해당 이메일들에는 첨부된 전자 문서는 “個人資料同意申請書.doc (247,200 바이트)”, “中央氣象局颱風資料庫研究用帳號申請表.doc (248,224 바이트)” 그리고 “國立中央大學大氣科學系通訊錄.xls (146,432 바이트)” 파일이 첨부되어 있었다. 첨부된 전자 문서 파일들은 개인정보 동의 신청서와 기상 관련 자료들 인것으로 위장하여 이메일의 수신인이 문서를 열어보기 쉬운 파일명을 사용하고 있다. 그리고 워드 문서의 경우에는 CVE-2012-0158 취약점을 악용하며 보안 권고문 “Microsoft Security Bulletin MS12-027 – 긴급 Windows 공용 컨트롤의 취약점으로 인한 원격 코드 실행 문제점 (2664258)” 을 통해 이미 보안 패치가 배포 중인 알려진 취약점이다. 그리고 취약한 전자 문서 파일들은 공통적으로 원격 제어가 가능한 백도어 형태의…
