악성 워드 문서 유포를 통한 APT 공격 시도 (External 연결 + VBA 매크로)
ASEC 분석팀은 최근 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 정황을 확인하였다. 메일 제목 및 본문은 아래와 같이 되어있으며, 첨부파일인 압축 파일 내부에는 워드 문서가 포함되어 있다. 파일명 : 사내 금융업무 상세내역.docx [그림 1] 메일 제목 / 본문 워드문서를 실행하면 아래와 같은 내용이 사용자에게
Excel 4.0 매크로를 통해 유포되는 Dridex
최근 ASEC 분석팀은 엑셀 문서를 통해 Dridex 가 유포되는 방식이 빠른 주기로 변화되고 있는 것을 확인하였다. 작년부터 Dridex 유포 방식에 대해 ASEC 블로그를 통해 소개 해왔으며, 지난달 작업 스케줄러를 이용하여 Dridex 를 유포하는 엑셀 문서를 마지막으로 소개하였다. 현재 유포 중인 엑셀 문서에서는 이전과 달리 VBA 매크로가 사용되지 않았으며, Excel 4.0
더욱 정교해진 Excel 문서 (Dridex, Cobalt Strike 유포)
엑셀 문서를 통해 Dridex 가 유포되는 방식은 작년부터 꾸준히 확인되었으며 ASEC 블로그에도 게시되었다. 최근 ASEC 분석팀은 기존과 비슷한 방식으로 Dridex 와 함께 Cobalt Strike 툴이 함께 유포되는 정황을 포착하였다. 최근 유포되는 엑셀 문서에는 기존과 달리 작업 스케줄러를 이용하여 특정 시간 이후 악성 행위를 수행하는 것으로 확인되었다. 이러한 동작방식의 변화는 샌드박스
매크로 시트를 이용한 악성 엑셀 국내 유포 중
ASEC 분석팀은 매크로 시트(Excel 4.0 macro sheet)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포 중임을 확인하였다. 매크로 시트를 이용한 방식은 악성코드 유포자가 자주 사용하는 방식으로, 지난 10월 Qakbot 유포에도 사용되었다. 급여명세서로 유포 중인 Qakbot 악성코드 (*.xlsb) 뱅킹형 악성코드로 알려진 QakBot(이하 QBot)이 최근 국내 사용자를 대상으로 유포되고 있음을
주의! 21대 국회의원 선거관련 악성 워드문서 유포 중
ASEC분석팀은 21대 국회의원 선거관련 문서를 다운로드 받는 악성 워드문서를 발견하였다. 해당 문서파일은 실행 시 특정 URL에서 악성 파일을 다운로드 받는다. 확인된 외부 다운로드 주소는 아래와 같다. http[:]//saemaeul.mireene.com/skin/board/basic/bin 해당 파일을 성공적으로 다운로드 받은 경우, 아래와 같은 국회의원 선거관련 내용이 사용자에게 보여진다. 사용자에게 보여지는 내용 문서파일을 열 경우 아래와 같이 다운로드 시도
엑셀 매크로 코드에서 확인된 Anti-VM 기능 (very hidden)
ASEC분석팀은 3월 25일 악성 매크로 코드를 ‘좀 더’ 숨긴 엑셀파일에서 Anti-VM 기능까지 추가 된 것을 확인하였다. 해당 엑셀파일을 실행 시, 사용자는 아래의 그림과 같이 왼쪽 하단에 ‘Sheet1’ 이름의 시트만 확인이 가능하다. 실제 악성코드가 사용하는 매크로 코드는 ‘Sheet1’이 아닌 숨겨진 시트에서 확인이 가능하다. 매크로 시트를 구성하는 바이너리를 보면 ’01’ (Excel 4.0 macro
