‘BIO 양식’ 제목의 워드문서 유포 중
ASEC 분석팀은 지난달부터 꾸준히 워드 문서를 이용한 APT 공격에 대해 게시하였다. 최근 해당 유형의 악성코드가 ‘BIO 양식’ 제목으로 꾸준히 유포되고 있음을 확인하였다. 이전 워드문서의 유포 이력을 보면 해당 파일 역시 대북관련 교수나 연구소장을 타겟으로하여 학술전기(Biography) 양식을 가장하여 유포 중인 것으로 추정된다. 최근 유포가 확인된 파일 역시 워드 파일 내부의 External
타겟형 공격 악성 워드문서 유포
APT 타겟형 공격으로 추정되는 <사례비지급 의뢰서> 내용의 악성 워드 문서가 다시 유포되었다. 똑같은 문서 내용의 악성코드는 지난 3월에도 발견되어 ASEC블로그에 관련 분석 내용을 공개하였다. 이번에 발견된 워드 문서는 최근에 만들어졌으며, 기존 공격과 내용은 동일하지만 동작 방식에서 차이가 있었다. 본 글에서는 새로 발견된 <사례비지급 의뢰서> 악성 문서 파일의 기능과 특징, 그리고
라이브러리 파일 이용 국내 기업 APT 공격
최근 국내 기업들을 대상으로 지속적인 타깃 공격이 발생하였다. 기업의 침해 시스템에서 수집된 악성 파일 중 상당수는 동적 라이브러리(DLL) 파일이었다. 그러나 이번 공격에 사용된 파일은 일반적인 DLL 파일과는 달랐다. 수집된 파일은 정상 라이브러리가 다양한 방식으로 악의적으로 변조된 파일이었다. 어떤 경로로 시스템에 악성 파일이 생겼는지, 최초 공격 유입 경로는 무엇이었는지는 알려지지 않았다.
CLOP 랜섬웨어 공격 보고서
안랩 시큐리티대응센터(ASEC)은 최근 유통 대기업 A사를 공격한 CLOP 랜섬웨어와 CLOP 랜섬웨어의 유포 및 공격 방식에 대해 분석 보고서를 공개한다. 이 보고서는 2020년 유통 대기업 A사 공격에 사용된 CLOP 랜섬웨어 파일의 복구 가능성과 연관 파일, 그리고 2019년에 여러 기업 공격에 사용된 CLOP 랜섬웨어 유포 과정을 설명한다. 또한 현재까지 확인된 CLOP 랜섬웨어의
“「2021 평화∙통일 이야기 공모전」 참가 신청서” 제목의 한글문서 유포 (APT 추정)
ASEC분석팀은 특정 지자체의 문서를 위조한 한글 악성코드가 유포 중인 것을 확인했다. 해당 문서는 아래 [그림 1]과 같이 평화∙통일을 주제로 하고 있다. 문서 실행 시 내부 악성 OLE 개체에 의해 악성코드가 특정 경로에 생성되며 사용자가 문서를 클릭할 경우 실행된다. [그림1] 악성 문서 내용 해당 악성 문서에 대한 정보는 다음 [그림2]와 같다.
정상 문서 파일로 위장한 악성 코드 유포 (Kimsuky 그룹)
ASEC 분석팀은 지난 8월 20일부터 Kimsuky 그룹의 공격 정황을 다수 확인하였다. 파일명에 docx, pdf, txt 등 문서 확장자를 포함한 정상 파일로 위장하여 유포 중이며, 해당 악성코드는 정상 파일 드롭 및 실행, 감염 PC 정보 탈취, 추가 악성코드 다운로드를 수행한다. 해당 방식은 Kimsuky 그룹이 자주 사용하는 위장 방식과 동작 방식으로 국내
Lazarus 그룹의 방위산업체 대상 공격 증가
Lazarus 그룹의 방위산업체 대상 공격이 지난달부터 증가하고 있다. 공격은 Microsoft Office Word 프로그램의 Office Open XML 타입의 워드 문서 파일을 이용하였다. (샘플 출처: 해외 트위터) Senior_Design_Engineer.docx – 영국 BAE 시스템즈 (5월 접수) Boeing_DSS_SE.docx – 미국 Boeing (5월 접수) US-ROK Relations and Diplomatic Security.docx – 국내 ROK (4월 접수) 문서 파일은
신천지 비상연락처 위장한 Bisonal 악성코드 유포 중 (2020.03.05)
ASEC분석팀은 현재 우리나라에서 이슈가 되고있는 신천지 관련 악성코드가 유포된 것을 확인하였다. 유포 파일명은 xlsx 엑셀 또는 ppt 파워포인트 문서 파일로 보이지만, 유니코드 RLO(Right to Left Override) 방식을 이용하여 파일 확장자를 다른 형태로 보이도록 하였다. 실제 악성 파일은 *.scr 파일이다. RLO 변조 된 파일 유니코드 RLO 변조 유포 악성 파일 신천지예수교회비상연락처(1).Rcs.xlsx
![[주의] 한글문서 악성코드 동작방식 변화 (시작프로그램 등록)](https://asec.ahnlab.com/wp-content/uploads/2020/09/buildings-1.png)
[주의] 한글문서 악성코드 동작방식 변화 (시작프로그램 등록)
안랩 ASEC 분석팀에서는 11월 18일 아래의 ASEC블로그를 통해 한글 문서파일 악성코드 실행 시, VBS 스크립트 파일을 시작 프로그램에 등록하여 재부팅 시점에 악성행위가 수행하는 동작방식을 소개하였다. 현재 이러한 형태의 공격방식이 다양한 고객사에서 널리 확산되고 있으며, 공격자도 V3 탐지를 우회하기 위해 다양한 변종(*.VBS, *.VBE, *.JS, *.WSF)을 제작하고 테스트하는 것으로 확인되었다. 한글문서 실행
포털 사이트의 보안 프로그램으로 위장한 악성코드 주의
안랩에서는 최근 특정 국가의 지원을 받는 조직의 지능형 지속 공격 활동을 포착하여 이를 알아보고자 한다. [지능형 지속 공격(Advanced Persistent Threat, APT)] 장기간에 걸쳐 다양한 공격 기법을 활용해 피해자 몰래 주요 정보를 유출하고 시스템을 무력화하는 공격 발견된 위장 프로그램은 국내 유명 포털 사이트로 위장한 피싱 페이지를 통해 유포된다. [그림 1] 피싱
