JAR 서명 도구(jarsigner.exe)를 통해 실행되는 XLoader
최근 AhnLab SEcurity intelligence Center(ASEC)은 DLL Side-Loading 기법을 이용하는 XLoader 악성코드의 유포 정황을 확인했다. DLL Side-Loading 공격 기법은 정상적인 응용 프로그램과 악성 DLL을 같은 폴더 경로에 저장하여 응용 프로그램이 실행될 때 악성 DLL이 함께 동작하도록 하는 기법이다. 공격에 사용된 정상 응용 프로그램인 jarsigner는 Eclipse 재단에서 배포하는 IDE 패키지 설치 시
2024년 07월 APT 공격 동향 보고서(국내)
본 보고서는 2024년 7월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다. 아래는 일부의 내용을 요약한 정보이다. [목차] 개요 APT 국내 공격 동향 1) Spear Phishing 1.1 LNK를 활용한 공격 1.2 HWP를 활용한 공격 1.3 JSE를 활용한 공격 1.4 DOC를 활용한 공격 1.5
크랙 위장 악성코드 유포 주의 (V3 Lite 설치 방해)
AhnLab SEcurity intelligence Center(ASEC) 에서는 이전에 “MS 오피스 크랙을 위장하여 유포 중인 악성코드 (XMRig, OurcusRAT 등)” 포스팅을 통해 크랙 프로그램을 위장한 악성코드의 위험성을 소개한 바 있다. [1] 크랙 프로그램을 위장한 악성코드는 주로 웹 하드나 블로그, 토렌트를 통해 유포되어 다수의 시스템이 감염되는 경향이 있으며, 주기적인 업데이트를 통해 감염된 시스템이 공격자로부터 지속적으로
정상 EXE 파일 실행 시 감염되는 정보탈취 악성코드 주의 (DLL Hijacking)
정상 EXE 파일 실행을 유도하는 정보탈취 악성코드가 활발히 유포 중으로 주의가 필요하다. 공격자는 유효한 서명을 포함한 정상 EXE 파일과 악성 DLL을 같은 디렉토리에 압축하여 유포하고 있다. EXE 파일은 자체로는 정상 파일이지만, 악성 DLL과 동일한 디렉토리에서 실행될 경우 악성 DLL을 자동으로 실행한다. 이러한 기법을 DLL 하이재킹(DLL Hijacking)이라 하며 악성코드 유포에 종종
워드양식 입사지원서로 위장한 Zegost 악성코드
ASEC 분석팀은 9월 17일 입사지원서로 위장한 Zegost 악성코드가 유포되고 있음을 확인하였다. 해당 파일은 워드 문서 아이콘으로 되어 있어 사용자가 악성 실행 파일을 문서 파일로 착각할 수 있다. 파일 버전 역시 Kakao를 사칭하고 있어, 사용자의 주의가 필요하다. 파일 속성 파일 실행 시 C:Windowssystem32Phiya.exe로 자가복제되며, 자동 실행을 위해 아래 레지스트리를 생성한다. HKLMSystemSelectMarktime[파일
영화 ‘반도’ 동영상 파일로 위장하여 백도어 유포 중 (Torrent)
지난 6월 24일 ASEC 분석팀은 현재 상영중인 영화 “결백” 영화 파일을 위장한 백도어 악성코드의 유포 현황을 발견하였다. 그리고 8월 5일 동일 류의 악성코드를 모니터링 중 최신 영화인 “반도” 영화 파일로 새롭게 위장한 백도어 악성코드가 유포되는 정황을 포착하였다. 공격자는 지난 번과 동일하게 일반 사용자들이 많이 이용하는 “토렌트(Torrent)”를 통해 악성코드를 유포하였으며, 업로드 시점은 8월 4일 02시 20분으로 확인되었다.
국내 인터넷 커뮤니티 사이트에서 악성코드 유포 (유틸리티 위장)
ASEC 분석팀에서는 7월 23일 국내 유명 커뮤니티의 자료실에서 유틸리티 프로그램을 위장한 악성코드가 유포 중인 것을 확인하였다. 공격자는 공식 홈페이지에서 배포 중인 유틸리티의 실행파일에 악성 쉘 코드를 삽입 후 실행 흐름을 변조하는 방법으로 악성코드를 제작하였다. (정상파일의 빈 공간에 악의적 코드 삽입) 이번에 확인된 악성코드의 동작방식은 7월 15일에 ‘코로나 예측 결과’ 위장하여
견적, 구매 메일로 위장해 유포되는 Formbook 악성코드
Formbook 악성코드는 2017년 처음 보고된 이후 현재까지도 꾸준히 유포되고 있는 정보 탈취 유형의 악성코드이다. 최근에는 주로 견적 구매 관련 메일로 위장하여 유포되고 있다. 메일에는 압축된 첨부파일이 포함되어 있으며 압축파일 내부에는 악성코드 실행 파일이 존재한다. 단순한 방식으로 유포되지만 유포량은 전체 악성코드 샘플 중에서 큰 비중을 차지하기 때문에 주의가 필요하다. ASEC 주간
![[주의] 코로나 바이러스와 연관된 악성코드 다수 유포](https://asec.ahnlab.com/wp-content/uploads/2020/09/people-1.png)
[주의] 코로나 바이러스와 연관된 악성코드 다수 유포
ASEC 분석팀은 세계적으로 이슈인 코로나 바이러스와 연관된 악성 코드들이 유포되고 있는 것을 확인하였다. 문서 내용이나 파일 이름 등이 코로나 바이러스와 관련되어 있으며, 2월말부터 현재까지 다양한 형태로 꾸준히 유포되고 있다. 초기 유포되던 악성코드는 테스트용이나 조크성 파일 등으로 유포된 반면, 최근에는 백도어, 다운로더 등 다양한 유형의 악성코드로 유포되고 있어 사용자의 큰 주의가
구매 확인서 관련 피싱 메일 주의! (국내 포털 사이트 ID/PW 탈취)
3월 14일, ASEC 분석팀은 ‘구매확인서 발급 확인요청’으로 위장한 피싱 파일(HTML 형태)이 국내에 유포되는 것을 확인하였다. 피싱(Phishing) 파일을 통해 국내 사용자들이 많이 사용하는 웹 포털 사이트 계정 정보를 입력하도록 하며, 로그인 시 입력한 ID/PW 정보는 공격자에게 전송되는 구조를 갖는다. 최근 코로나19 바이러스 관련 파일이나 이력서, 견적서 등으로 유포 중인 악성 코드를
