ASEC

위장 파일명으로 유포되는 악성코드(RIGHT-TO-LEFT OVERRIDE)

ASEC 분석팀에서는 지난 8월 RIGHT-TO-LEFT OVERRIDE(이하 RTLO) 를 이용한 파일명을 사용하여 유포되고 있는 악성코드에 대한 블로그를 게시했다. RTLO는 설명된 내용처럼 오른쪽에서 왼쪽으로 오버라이드 하는 유니코드이다. 이를 이용하여 파일명과 확장자를 섞어 사용자의 실행을 유도하는 방식의 악성코드 유포는 현재도 계속되고 있다. GitHub에 솔루션파일(*.sln) 위장하여 유포되는 RAT 툴 이전 블로그 포스팅 내용을 토대로 GitHub에서 검색 시 Commits 된 게시글은 금일(2022.11.30)기준 304건이 조회된다. 몇 개의 계정으로 다수의 악성코드를 정상 코드처럼 등록했으며 기존 게시된 솔루션 위장 악성코드 파일만 새로운 악성코드로 업로드하여 유지된 게시글도 존재했다. RTLO…

나의 전화번호는 어떻게 유출될까?

개인정보보호법은 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 하는 법이다. 개인정보보호법에 정의된 개인정보란 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 뜻한다. 전화번호는 대표적인 개인정보로 볼 수 있다. 이 글에서는 개인정보인 전화번호를 수집하는 PUP 프로그램에 대해 소개한다. [그림 1]은 “OOO 중고나라 전화번호 추출 프로그램” 의 파일명을 갖는 PUP 프로그램이다. 중고나라는 OOO의 카페로 회원수 1900만명을 보유한 카페이다. 해당 카페의 회원들이 사용하지 않는 중고물품을 등록하여 판매하는 사이트이다….

블로그 자동 포스팅과 자동 신고 프로그램

스팸 프로그램은 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 근거한 불법 프로그램 이다. ASEC 분석팀은 블로그를 통해 마케팅 프로그램으로 판매되고 있는 스팸 프로그램에 대해 포스팅 했었다. 오늘은 과거 소개했던 스팸 프로그램과 유사한 프로그램을 소개한다. 파일명이 Naver Blog Report Program.exe 로 수집된 파일은 과거 블로그를 통해 작성했던 스팸 프로그램과 동일한 C# 언어로 개발 되었다. 주요 기능으로는 키워드를 이용하여 특정 블로그에 대한 글을 검색하여 블로그 내용에 특정 URL이 존재할 경우 리스트에 추가 하여 신고한다. 위 내용만 보면 해당 기능들은 정상 프로그램의 기능처럼…

국내 포털 사이트 Daum으로 위장한 피싱 메일

ASEC 분석팀은 해당 블로그 작성 날짜 기준으로 전날인, 2022년 7월 21일에 국내 포털 사이트 중 하나인 Daum으로 위장한 피싱 메일이 유포되고 있는 정황을 포착하였다. 해당 피싱 메일은 제목에 RFQ를 포함하여 견적 요청서로 둔갑하였으며, 첨부 파일을 이용하여 피싱 페이지로 유도하도록 만들어졌다. 첨부 파일은 HTML 파일로 이루어져 있으며, 첨부 파일을 실행하면 자동으로 아래 주소로 리다이렉션된다. hxxps://euoi8708twufevry4yuwfywe8y487r.herokuapp[.]com/sreverse.php 리다이렉션이 된 후, 아래와 같은 Daum으로 위장한 피싱 페이지[그림 3-좌]가 출력되며, 실제 로그인 페이지[그림 3-우]와 비교했을 때 거의 비슷하게 꾸며 놓은 것을 알 수 있다. 피싱…

특정 군부대 유지보수 업체 대상으로 AppleSeed 유포

ASEC 분석팀은 최근 특정 군부대 유지보수 업체 대상으로 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed 악성코드는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 최근 여러 대상을 타깃으로 활발히 유포하고 있다. 이번에는 특정 군부대의 이름이 담긴 아래와 같은 파일명으로 악성코드 유포가 이루어졌다. 20220713_****부대_설치 예상 일정V004_***시스 수정_6.xls 최초 엑셀 문서 형태(XLS)로 유포가 이루어졌으며, 백신을 우회하기 위해서인지 엑셀 파일은 암호로 보호되고 있다. 해당 문서 파일을 실행하면 [그림 2]와 같이 콘텐츠 사용 버튼을 클릭하도록 유도하는 내용이 쓰여있으며, 콘텐츠 사용 버튼을 클릭하면 매크로에 의하여 [그림 3]으로 본문이…