Amadey Bot을 설치하는 Nitol DDoS 악성코드 Posted By Sanseo , 2022년 12월 12일 ASEC 분석팀은 최근 공격자가 Nitol DDoS Bot 악성코드를 이용해 Amadey를 설치하고 있는 것을 확인하였다. Amadey는 2018년경부터 유포되고 있는 악성코드로서 사용자의 정보를 탈취하는 기능 외에도 추가 악성코드들을 설치하는 목적으로 사용될 수 있는 다운로더 악성코드이다. Amadey는 올해부터 다시 활발하게 유포되고 있는데 올해 초부터 시작하여 최근까지도 정상 소프트웨어 크랙 및 시리얼 생성 프로그램을 위장한 유포 사이트에서 유포되면서 여러 다른 악성코드들을 설치하고 있다.[1] 이외에도 올해 하반기에는 국내 기업 사용자들을 대상으로 하는 LockBit 3.0 랜섬웨어 공격에도 사용되고 있는데, 스팸 메일의 첨부 파일을 통해 유포되어 LockBit…
Amadey Bot을 이용한 LockBit 3.0 랜섬웨어 유포 중 Posted By Sanseo , 2022년 10월 31일 ASEC 분석팀에서는 최근 Amadey 봇 악성코드가 LockBit 랜섬웨어를 설치하는 데 사용되고 있는 것을 확인하였다. Amadey Bot은 2018년경부터 확인되는 악성코드로서 공격자의 명령을 받아 정보 탈취나 추가 악성코드를 설치할 수 있다. 일반적인 악성코드들처럼 Amadey 또한 불법 포럼 등을 통해 판매되고 있으며, 이에 따라 현재까지도 다양한 공격자들에 의해 사용되고 있다. Amadey는 과거 GandCrab 랜섬웨어 공격자들에 의해 랜섬웨어를 설치하는 데 사용되거나, Clop 랜섬웨어로 유명한 TA505 그룹에 의해 FlawedAmmyy를 설치하는 데 사용되었다. 이외에도 최근에는 국내 유명 메신저 프로그램으로 위장하여 유포된 이력이 있다. LockBit 랜섬웨어를 설치하는데…
SmokeLoader를 통해 유포 중인 Amadey Bot Posted By Sanseo , 2022년 7월 11일 Amadey Bot은 2018년경부터 확인되는 악성코드로서 공격자의 명령을 받아 정보 탈취나 추가 악성코드를 설치할 수 있다. 일반적인 악성코드들처럼 Amadey 또한 불법 포럼 등을 통해 판매되고 있으며, 이에 따라 현재까지도 다양한 공격자들에 의해 사용되고 있다. ASEC 분석팀에서는 2019년 ASEC 블로그를 통해 Amadey가 공격에 사용된 사례들을 공개한 바 있다. 대표적으로 GandCrab 랜섬웨어 공격자들에 의해 랜섬웨어를 설치하는 데 사용되거나, Clop 랜섬웨어로 유명한 TA505 그룹에 의해 FlawedAmmyy를 설치하는 데 사용되었다. 이외에도 Fallout Exploit Kit이나 Rig Exploit Kit 공격자들도 Amadey를 공격에 이용했던 것으로 알려져 있다. ASEC…
Operation Moneyholic With HWP Document Posted By ASEC , 2019년 9월 19일 안랩에서는 지난 8월 암호화폐 거래소와 이용자를 대상으로한 공격활동을 분석한 오퍼레이션 머니홀릭(Operation Moneyholic) 보고서를 발행했다. 오퍼레이션 머니홀릭(Operation Moenyholic) 조직은 해외에서 코니(KONNI)로 잘 알려져 있다. 최근 오퍼레이션 머니홀릭(Operation Moenyholic) 조직이 악성코드 유포를 위해 사용한 HWP 파일이 발견되어 이를 알아보고자 한다. [HWP Document] 한글과컴퓨터의 프로그램인 한글에서 사용하는 파일 형식으로 한글 문서 또는 HWP(Hangul Word Processor)라 불림 [스피어 피싱(Spear Phishing)] 특정인 또는 특정 조직을 대상으로한 맞춤형 공격 공격 대상의 사전조사 내용을 토대로하여 신뢰할 수 있는 위장 이메일을 발송하여 표적을 공격 발견된 HWP 파일은 스피어 피싱…
‘GandCrab’ 랜섬웨어와 ‘Amadey’ 봇의 은밀한 관계 Posted By ASEC , 2019년 4월 22일 안랩은 GandCrab 랜섬웨어를 지속적으로 모니터링하여 분석한 정보를 공개하고 있고, 최근에는 국내 가상화폐 거래소를 대상으로 유포된 'Amadey' 봇에 대해서도 소개하였다. 지금까지 이 두 유형의 악성코드는 각기 다른 목적과 기능을 가진 별개의 악성코드로 보고 있었는데, 최근 발견된 GandCrab 샘플과 Amadey 샘플을 분석해 보면 이 악성코드는 분명한 연관 관계가 있는 것으로 보인다. ASEC블로그 GandCrab 랜섬에어 관련 글 [주의] 국내 코인업체 대상 'Amadey' 악성코드 공격 시도 다음은 지난 4월 15일 수집 된 Amadey 샘플이다. C:ProgramData 하위에 파일 생성, 추가 프로세스 실행, 레지스트리 자동실행 등록, C&C 서버 접속 등 Amadey 의 주요 기능은 크게 변하지 않았다. C&C 서버에 HTTP 통신으로 시스템ID를 비롯해 OS 버전, 백신설치 여부 등 사용자 정보 일부를 전송하는 것도 같았다. 그러나 여기서 주목할 점은 C&C 서버와 통신할 때 POST 응답으로 받아오는 데이터이다. 수신 데이터는 이전까지 알려지지 않았지만 안랩 ASEC 분석팀의 자동분석 시스템 라피트(RAPIT)를 이용하여 분석한 결과, 샘플이 추가로 접속할 URL 주소인 것이 확인되었다. URL 주소에는 정보 유출 Password Stealer 류 외에 GandCrab 랜섬웨어 유포지가 포함되어 있었으며 일정 시간이 지나면 전송하는 데이터(URL 주소)를 변경하였다. 이는 실시간으로 파일을 교체하기 위한 목적으로 보인다. 그리고 전송하는 시스템ID 등을 체크하여 특정 시스템에는 더는 URL을 포함한 응답 데이터를 보내지 않는 것도 이번에 확인되었다. Amadey가 URL 주소에 접속하여 데이터를 수신한 이후에는 이를 %Temp% 경로에 파일로 생성하고 실행한다. 즉, Amadey는 C&C 서버에 시스템 정보를 전송한 이후 추가 파일을 다운받는 다운로더 역할을 하였고 다운된 파일에는 정보 유출 형 악성코드와 GandCrab 랜섬웨어가 포함되어 있었다. Amadey 악성코드가 GandCrab 랜섬웨어를 다운받는 것 외에도 악성코드의 파일 외형이 매우 유사한 점도 특징적이다. 최근 확인되는 Amadey 와 GandCrab 은 UPX 로 팩 되어 있다. 두 유형 모두 언팩 이후에 PE 파일이 비정상적으로 많은 Export Function 정보 (10만 개 이상의 Function) 가 있으며, WinMain 코드의 독특한 시작 패턴과 이후 호출되는 디코딩 루틴이 같다. GandCrab 랜섬웨어와 Amadey 봇은 기능상 다른 악성코드이지만 다운로드 관계 및 파일의 코드 관점으로 보았을 때 긴밀히 연관된 악성코드로 보인다. 또한 기존의 ASEC블로그에서 수차례 언급된 내용을 보면 주로 국내 사용자를 대상으로 타겟으로 하고 있는 악성코드라는 점 또한 동일하다. 위에 언급한 Amadey는 현재 V3 에서 다음과 같이 진단하고 있다. – 파일 진단: Tojan/Win32.Amabot (2019.04.15.05) – 행위 진단: Malware/MDP.Behavior.M2179 외
