매크로 시트를 이용한 악성 엑셀 국내 유포 중 (2) Posted By ASEC , 2021년 11월 4일 ASEC 분석팀은 매크로 시트(Excel 4.0 Macro)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포 중인 정황을 확인하였다. 매크로 시트를 이용한 방식은 악성코드 유포자가 자주 사용하는 방식으로, SquirrelWaffle / Qakbot 을 비롯한 다양한 악성코드 유포에도 사용된 이력이 존재한다. 매크로 시트를 활용한 악성코드에 대해서는 위와 같이 본 블로그에 여러 차례에 걸쳐 소개한 바 있다. 이번에 소개하려는 형태도 유포 방식이 크게 다르지 않으나 유사한 형식의 파일명으로 다량 유포하는 정확이 확인되어 사용자들의 주의가 요구된다. 대부분의 파일명은 biz-106093825.xls / recital-1105217019.xls / miss-1360738092.xls 와…
‘구매발주’ 메일로 유포되는 다음(Daum) 위장 피싱 Posted By ASEC , 2021년 10월 5일 최근 악성코드 유포에 많이 사용되고 있는 방법 중 많은 비중을 차지하는 것이 피싱 메일이다. ASEC 분석팀에서는 지난 블로그들을 통해 특정 피싱 공격 뿐아니라 피싱 메일 유형에 대해서도 정리한 이력이 있다. 이번에도 그와 유사하게 사용자의 다음(Daum)계정 정보 유출을 목적으로 하는 피싱 메일이 확인되었다. 해당 메일은 아래 [그림1]과 같이 특정 학교를 수신, 발신으로 설정하여 유포한 것으로 보아 특정 대상의 계정 정보를 수집할 목적으로 작성된 것으로 추정된다. 구매발주 관련 내용 확인을 위한 메일로 속여 사용자들이 첨부된 HTML을 실행하여 다음(Daum)계정 정보를 입력하도록 유도한다. 아래의…
지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향 (2) Posted By ASEC , 2021년 9월 7일 ASEC 분석팀에서는 TA551 그룹에서 공격에 사용한 DOC 매크로 문서들에 대해 지속적으로 소개하고 있다. 지난 7월에 소개한 내용과 매크로 문서의 동작방식은 달라진 것이 없으나, 이번에는 매크로 실행 후 최종단계에서 BazarLoader 를 유포하는 정황이 확인되었다. 먼저, 자사에서 지난 5 월에 발행한 BazarLoader 분석보고서의 일부 내용을 인용하면 아래와 같다. ATIP – BazarLoader 분석보고서 ‘개요’ 부분발췌 BazarLoader는 메모리 상에서 백도어를 다운로드하고 정상 프로세스에 인젝션하는 악성코드로, C++언어를 기반으로 만들어졌으며 주로 x64 실행파일 형태로 유포되고 있다. BazarLoader가 다운로드하는 악성코드는 ‘BazarBackdoor’라 불리며, 이 백도어는 사용자 PC 정보…
외화송금 통지를 가장한 NanoCore RAT 유포중! Posted By ASEC , 2021년 8월 5일 ASEC 분석팀에서는 최근 외화송금 통지를 가장한 NanoCore RAT 악성코드 유포 정황을 확인하였다. NanoCore RAT의 경우 주로 피싱메일을 이용하여 유포되기 때문에 사용자들의 주의가 더욱 더 필요하다. 먼저, 피싱 메일은 아래와 같이 특정 캐피탈 회사를 사칭하여 “[00캐피탈]외화송금도착 통지” 라는 제목으로 유포되고 있으며, 본문에는 사용자에게 첨부파일을 확인하고 실행하도록 유도하는 내용이 포함되어 있다. 본문은 특정 캐피탈 회사에서 실제 정상적으로 사용하는 그림을 그대로 가져온 것으로 추정된다. 첨부파일을 받아 확인해보면 R03 확장자를 가진 RAR 계열 파일로 확인이 되며, 압축 프로그램을 이용하여 압축을 풀면 아래 사진과 같이…
국내 메일 서비스 사용자 타겟 피싱 사이트(2) Posted By ASEC , 2021년 6월 4일 그간 해당 블로그를 통해 다양한 피싱메일을 ASEC 분석팀에서 공유해왔다. 이번에도 이전 국내 메일 서비스 사용자를 타겟으로 유포하는 피싱 사이트 유형의 추가 사이트를 발견하여 이에 대해 알리려한다. 최근에 확인된 피싱 사이트는 네이버 메일(mail.naver), 다음 메일(mail2.daum), 하이 웍스(hiworks) 사용자를 대상으로 아이디(ID)와 패스워드(Password), 사용자 IP 등을 수집해 해당 공격자의 메일로 전송한다. 최상위 도메인 hxxp://za***if***i**pl*ce[.]com/은 과거 블로그에 소개된 피싱 사이트와 같이 open directory 형태이며, 동일한 템플릿 beautysalon을 사용하였다. 또 하위 디렉토리 구조가 동일하여 피싱 정보를 발신할 메일 주소와 디렉토리 명의 일부 스트링이 포함된다. 스크립트…
