Downloader

윈도우 정품 인증 툴을 이용해 유포 중인 BitRAT, XMRig 코인 마이너

ASEC 분석팀에서는 최근 윈도우 정품 인증 툴을 위장하여 BitRAT과 XMRig 코인 마이너가 유포 중인 것을 확인하였다. BitRAT은 아래의 블로그들에서 다룬 바와 같이 이전에도 웹하드를 통해 MS 윈도우 정품 인증 툴과 MS 오피스 설치 프로그램으로 위장하여 유포된 이력이 있으며, 현재 블로그에서 다루는 사례도 동일한 공격자로 추정된다. 특이한 점으로는 V3 설치되지 않은 환경에서는 BitRAT 원격제어툴이 설치되며, V3 설치 환경에서는 (BitRAT 가 아닌) 코인 마이너를 설치하는 기능이 존재한다. 윈도우 정품인증 툴로 위장하여 유포 중인 BitRAT 악성코드 오피스 설치 프로그램으로 위장하여 유포 중인 BitRAT…

SmokeLoader를 통해 유포 중인 Amadey Bot

Amadey Bot은 2018년경부터 확인되는 악성코드로서 공격자의 명령을 받아 정보 탈취나 추가 악성코드를 설치할 수 있다. 일반적인 악성코드들처럼 Amadey 또한 불법 포럼 등을 통해 판매되고 있으며, 이에 따라 현재까지도 다양한 공격자들에 의해 사용되고 있다. ASEC 분석팀에서는 2019년 ASEC 블로그를 통해 Amadey가 공격에 사용된 사례들을 공개한 바 있다. 대표적으로 GandCrab 랜섬웨어 공격자들에 의해 랜섬웨어를 설치하는 데 사용되거나, Clop 랜섬웨어로 유명한 TA505 그룹에 의해 FlawedAmmyy를 설치하는 데 사용되었다. 이외에도 Fallout Exploit Kit이나 Rig Exploit Kit 공격자들도 Amadey를 공격에 이용했던 것으로 알려져 있다. 3대…

견적의뢰서 위장 피싱 메일로 유포 중인 GuLoader

ASEC 분석팀에서 해당 블로그에 매주 업데이트 중인 주간 Top5 악성코드 키워드에 GuLoader가 2년만에 다시 랭크되었다. GuLoader는 추가 악성코드를 다운로드하는 다운로더 형태의 악성코드이며 다운로드 주소로 구글 드라이브가 자주 사용되어 해당 이름으로 명명되었다. ASEC 분석팀에서는 이 유형의 악성코드가 올 2022년 2분기 동안 유포된 Downloader 형의 악성코드 중 가장 많은 비중을 차지하고 있는 것으로 파악했으며 아래와 같이 피싱메일을 통해 유포되는 정황을 확인하였다. 이번에 확인된 케이스는 견적의뢰서를 위장하였으나 유포되는 파일명으로 보아 다양한 형태의 피싱 형태로 유포 중 일 것으로 보인다. [유포 파일명 일부] JP181222006.exe…

이메일 하이재킹을 통해 Bumblebee 악성코드 국내 유포 중

ASEC 분석팀은 최근 다운로더 유형의 악성코드인 Bumblebee 가 다수 유포되고 있는 정황을 포착하였다. Bumblebee 다운로더는 피싱 메일을 통해 ISO 파일로 유포되고 있으며, ISO 파일은 바로가기 파일과 악성 dll 파일을 포함하고 있다. 추가로, 이메일 하이재킹을 통해 국내 사용자를 대상으로 유포되는 사례도 확인되었다. 아래는 Bumblebee 다운로더를 유포하는 피싱 메일이다. 해당 메일은 정상 메일을 가로채 악성 파일을 첨부하여 사용자에게 회신한 형태이다. 해당 메일을 수신한 사용자의 경우, 정상적인 회신으로 판단하여 큰 의심 없이 첨부파일을 실행할 수 있어 주의가 필요하다. 추가로 확인되고 있는 피싱 메일…

다양한 공격자들에 의해 사용되는 SystemBC 악성코드

SystemBC는 수년 전부터 다양한 공격자들에 의해 사용되고 있는 Proxy 악성코드이다. 최근에는 SmokeLoader나 Emotet을 통해 유포되고 있는 것이 확인되지만, 과거부터 꾸준히 여러 랜섬웨어 공격에서 사용된 사례들이 존재한다. 공격자가 악의적인 목적으로 특정 주소에 접근하려고 할 때, 감염된 시스템에서 Proxy Bot으로 동작하는 SystemBC를 활용할 경우 해당 시스템을 통로로서 활용할 수 있다. 이외에도 외부에서 추가 악성코드를 설치할 수 있는 다운로더 기능이 존재하기 때문에, 공격자는 추가 페이로드를 설치하는 수단으로서도 SystemBC를 활용 가능하다. 과거 유포 사례 SystemBC는 2019년 RIG 익스플로잇 킷과 Fallout 익스플로잇 킷을 통해 유포되었던…