ASEC

국내 포털 사이트 Daum으로 위장한 피싱 메일

ASEC 분석팀은 해당 블로그 작성 날짜 기준으로 전날인, 2022년 7월 21일에 국내 포털 사이트 중 하나인 Daum으로 위장한 피싱 메일이 유포되고 있는 정황을 포착하였다. 해당 피싱 메일은 제목에 RFQ를 포함하여 견적 요청서로 둔갑하였으며, 첨부 파일을 이용하여 피싱 페이지로 유도하도록 만들어졌다. 첨부 파일은 HTML 파일로 이루어져 있으며, 첨부 파일을 실행하면 자동으로 아래 주소로 리다이렉션된다. hxxps://euoi8708twufevry4yuwfywe8y487r.herokuapp[.]com/sreverse.php 리다이렉션이 된 후, 아래와 같은 Daum으로 위장한 피싱 페이지[그림 3-좌]가 출력되며, 실제 로그인 페이지[그림 3-우]와 비교했을 때 거의 비슷하게 꾸며 놓은 것을 알 수 있다. 피싱…

특정 군부대 유지보수 업체 대상으로 AppleSeed 유포

ASEC 분석팀은 최근 특정 군부대 유지보수 업체 대상으로 AppleSeed 악성코드를 유포하는 정황을 포착하였다. AppleSeed 악성코드는 Kimsuky 조직에서 주로 사용되는 백도어성 악성코드로 최근 여러 대상을 타깃으로 활발히 유포하고 있다. 이번에는 특정 군부대의 이름이 담긴 아래와 같은 파일명으로 악성코드 유포가 이루어졌다. 20220713_****부대_설치 예상 일정V004_***시스 수정_6.xls 최초 엑셀 문서 형태(XLS)로 유포가 이루어졌으며, 백신을 우회하기 위해서인지 엑셀 파일은 암호로 보호되고 있다. 해당 문서 파일을 실행하면 [그림 2]와 같이 콘텐츠 사용 버튼을 클릭하도록 유도하는 내용이 쓰여있으며, 콘텐츠 사용 버튼을 클릭하면 매크로에 의하여 [그림 3]으로 본문이…

다수의 악성 파일들이 포함되어 있는 NSIS 설치파일 악성코드

ASEC 분석팀은 최근들어 NSIS 설치 파일을 통하여 다수의 악성 파일들을 배포하고 있는 정황을 확인하였다. NSIS는 Nullsoft Scriptable Install System의 약자로 본래는 특정 프로그램의 설치 파일을 제작하기 위한 목적으로 사용되나, 스크립트 기반으로 동작하는 방식이다 보니 외형적으로 NSIS 설치 파일들의 형태가 거의 동일하여 악성코드 제작에 많이 사용되기도 한다. NSIS 설치파일 형태의 악성코드는 예전부터 많이 이용해왔던 방식이며, 이 글에서 다루는 악성코드는 다수의 악성 파일이 하나의 설치파일에 포함되어 있는 형태로, 파일 하나를 실행하면 다양한 악성코드가 실행된다. 해당 NSIS 설치 파일의 내부를 살펴보면 아래와 같이…

워드문서 이용한 APT 공격 시도 (External 연결 + VBA 매크로)

ASEC 분석팀은 최근 방송사 기자를 대상으로 APT 공격 시도를 위한 악성 워드 문서 파일을 유포 중인 정황을 확인하였다. 메일 제목 및 본문은 아래와 같이 되어있으며, 첨부파일인 압축 파일 내부에는 워드 문서가 포함되어 있다. 파일명 : 사내 금융업무 상세내역.docx 워드문서를 실행하면 아래와 같은 내용이 사용자에게 보여지고, 백그라운드에서는 External URL을 이용하여 워드 매크로(dotm) 파일을 다운로드 받아 실행한다. URL : hxxp://ms-work.com-info.store/dms/0203.dotm 다운로드된 “0203.dotm” 이름의 워드 매크로 파일에는 아래와 같은 매크로가 작성되어 있으며, 기존 워드 파일의 사용자 지정 속성에 있는 값들을 이용하여 같은 경로…

CVE-2021-40444 취약점을 이용한 대북 관련 악성 문서

ASEC 분석팀에서는 최근 마이크로소프트에서 9월에 발표한 신규 취약점인 CVE-2021-40444를 포함한 문서 파일들이 유포되고 있는 정황을 확인하였다. 주목할 점은 확인된 문서들이 대북관련이라는 점이다. 대북과 관련한 악성 문서들은 과거부터 지속 새로운 방식으로 발전하고 있는데 최신 취약점을 사용한 것이 확인된 만큼 관련 공격자들이 발빠르게 새로운 기법들을 적용하여 유포 시도하고 있는 것을 알 수 있다. 취약점 CVE-2021-40444는 MSHTML 관련 원격 코드 실행이 가능한 취약점으로 MSHTML은 Internet Explorer 및 Office 문서 작업 프로그램 내 브라우저 렌더링 엔진이다. 해당 취약점은 Internet Explorer 및 Office 문서 작업…