APT

정상 문서 파일로 위장한 악성 코드 유포 (Kimsuky 그룹)

ASEC 분석팀은 지난 8월 20일부터 Kimsuky 그룹의 공격 정황을 다수 확인하였다. 파일명에 docx, pdf, txt 등 문서 확장자를 포함한 정상 파일로 위장하여 유포 중이며, 해당 악성코드는 정상 파일 드롭 및 실행, 감염 PC 정보 탈취, 추가 악성코드 다운로드를 수행한다. 해당 방식은 Kimsuky 그룹이 자주 사용하는 위장 방식과 동작 방식으로 국내 정부기관, 대학 교수 등을 대상으로 하는 APT 공격에 사용된다. 유포 파일명 유포 날짜 유포 파일명 2020/08/20 4.[아태연구]논문투고규정.docx.exe 2020/08/26 Button01_[2020 서울안보대화] 모시는 글.pdf.exe 2020/09/03 [양식] 개인정보이용동의서.txt.exe 해당 악성코드 유형은 리소스 영역에…

Lazarus 그룹의 방위산업체 대상 공격 증가

Lazarus 그룹의 방위산업체 대상 공격이 지난달부터 증가하고 있다. 공격은 Microsoft Office Word 프로그램의 Office Open XML 타입의 워드 문서 파일을 이용하였다. (샘플 출처: 해외 트위터) Senior_Design_Engineer.docx – 영국 BAE 시스템즈 (5월 접수) Boeing_DSS_SE.docx – 미국 Boeing (5월 접수) US-ROK Relations and Diplomatic Security.docx – 국내 ROK (4월 접수) 문서 파일은 공통으로 외부 External 주소에 접속하여 추가 문서 파일(*.dotm, Word Macro-Enabled Template)을 다운받는다. 다운된 추가 문서 파일은 특정 패턴의 VBA 매크로 코드로 악성 DLL 파일을 시스템에 생성 및 동작한다. <?xml version=”1.0″…

신천지 비상연락처 위장한 Bisonal 악성코드 유포 중 (2020.03.05)

ASEC분석팀은 현재 우리나라에서 이슈가 되고있는 신천지 관련 악성코드가 유포된 것을 확인하였다. 유포 파일명은 xlsx 엑셀 또는 ppt 파워포인트 문서 파일로 보이지만, 유니코드 RLO(Right to Left Override) 방식을 이용하여 파일 확장자를 다른 형태로 보이도록 하였다. 실제 악성 파일은 *.scr 파일이다. RLO 변조 된 파일 유니코드 RLO 변조 유포 악성 파일 신천지예수교회비상연락처(1).Rcs.xlsx 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직RCS.ppt – 신천지예수교회비상연락처(1).xlsx  엑셀 문서 내용 – 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직.ppt 파워포인트 내용 – 1 파워포인트 내용 – 2 분석 내용은…

[주의] 한글문서 악성코드 동작방식 변화 (시작프로그램 등록)

안랩 ASEC 분석팀에서는 11월 18일 아래의 ASEC블로그를 통해 한글 문서파일 악성코드 실행 시, VBS 스크립트 파일을 시작 프로그램에 등록하여 재부팅 시점에 악성행위가 수행하는 동작방식을 소개하였다. 현재 이러한 형태의 공격방식이 다양한 고객사에서 널리 확산되고 있으며, 공격자도 V3 탐지를 우회하기 위해 다양한 변종(*.VBS, *.VBE, *.JS, *.WSF)을 제작하고 테스트하는 것으로 확인되었다. 한글문서 실행 시, 시작 프로그램에 등록된 파일이 존재할 경우 의심스러운 문서로 추정할 수 있다. 2019.11.18 ‘한국국가정보학회 학회장 선거공고’ 내용의 악성 HWP 유포 윈도우 시스템에서 시작 프로그램의 경로는 아래와 같다. C:Users%UserProfile%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup 악성코드…

포털 사이트의 보안 프로그램으로 위장한 악성코드 주의

안랩에서는 최근 특정 국가의 지원을 받는 조직의 지능형 지속 공격 활동을 포착하여 이를 알아보고자 한다. [지능형 지속 공격(Advanced Persistent Threat, APT)] 장기간에 걸쳐 다양한 공격 기법을 활용해 피해자 몰래 주요 정보를 유출하고 시스템을 무력화하는 공격 발견된 위장 프로그램은 국내 유명 포털 사이트로 위장한 피싱 페이지를 통해 유포된다. [그림 1] 피싱 페이지(PC버전) [그림 2] 피싱 페이지(모바일 버전) 피싱 페이지는 접속한 웹 브라우저의 사용자 에이전트(User-Agent)에 따라 PC 버전과 모바일 버전으로 출력되며 공격 대상에게 보안 프로그램 또는 앱으로 위장한 악성코드의 다운로드를 유도한다. [피싱(Phishing)]…