“Merry Christmas!” 엑셀파일과 함께 유포되는 Dridex 악성코드 Posted By ASEC , 2021년 12월 23일 ASEC 분석팀은 크리스마스 시즌을 이용하여 Dridex 악성코드 다운로더로 동작하는 Excel 파일이 유포되는 정황을 확인하였다. Dridex 악성코드가 Excel 파일 매크로를 이용하여 유포되고 있는 내용은 ASEC 블로그를 통해 지속적으로 소개한 바 있다. (본문 하단 링크) Dridex 악성코드는 뱅킹관련 사용자 정보수집 및 공격자의 명령을 받아 악성행위를 수행할 수 있는 뱅킹 악성코드이며, 주로 스팸메일을 통해 유포되어 로더를 거쳐서 실질적인 메인 모듈을 다운로드받아 악성행위를 수행한다. 이번에 확인된 Dridex 악성코드 유포방식은 다음과 같은 흐름과 특징을 갖는다. 불특정다수 일반 사용자를 대상으로 피싱메일이 유포됨 백신탐지 우회 목적으로 문서…
Excel 4.0 매크로를 통해 유포되는 Dridex Posted By ASEC , 2021년 8월 25일 최근 ASEC 분석팀은 엑셀 문서를 통해 Dridex 가 유포되는 방식이 빠른 주기로 변화되고 있는 것을 확인하였다. 작년부터 Dridex 유포 방식에 대해 ASEC 블로그를 통해 소개 해왔으며, 지난달 작업 스케줄러를 이용하여 Dridex 를 유포하는 엑셀 문서를 마지막으로 소개하였다. 현재 유포 중인 엑셀 문서에서는 이전과 달리 VBA 매크로가 사용되지 않았으며, Excel 4.0 매크로만 사용되고 있다. 이러한 변화는 백신 탐지를 우회하기 위한 것으로 추정되며 변화 주기가 짧아지고 있다. 최근 유포되고 있는 엑셀 문서의 실행 화면은 아래와 같다. 다양한 이미지를 이용하여 사용자가 매크로 사용…
더욱 정교해진 Excel 문서 (Dridex, Cobalt Strike 유포) Posted By ASEC , 2021년 7월 13일 엑셀 문서를 통해 Dridex 가 유포되는 방식은 작년부터 꾸준히 확인되었으며 ASEC 블로그에도 게시되었다. 최근 ASEC 분석팀은 기존과 비슷한 방식으로 Dridex 와 함께 Cobalt Strike 툴이 함께 유포되는 정황을 포착하였다. 최근 유포되는 엑셀 문서에는 기존과 달리 작업 스케줄러를 이용하여 특정 시간 이후 악성 행위를 수행하는 것으로 확인되었다. 이러한 동작방식의 변화는 샌드박스 환경에서의 탐지 및 행위탐지를 우회하기 위한 시도로 추정된다. 또한, Dridex, Cobalt Strike 악성코드는 과거 도플페이머(DopplePaymer) 랜섬웨어, CLOP 랜섬웨어 감염으로 이어진 피해 사례가 있음으로 기업 사용자 환경의 경우 더욱 주의가 요구된다….
탐지 우회 방법으로 무장한 Dridex 악성코드 유포방식 분석 Posted By ASEC , 2021년 4월 1일 Dridex (또는 Cridex, Bugat)는 대표적인 금융 정보 유출형 악성코드이다. 사이버범죄 조직에 의해 글로벌로 대규모로 유포되고 있으며, 주로 스팸메일에 포함된 Microsoft Office Word나 Excel 문서 파일의 매크로를 이용한다. Dridex 악성코드의 가장 큰 특징으로는 다운로더, 로더, 봇넷 등 기능에 따라 파일을 모듈화하여 동작한다는 점이다. 이로 인해 Dridex 악성코드를 이용하여 DoppelPaymer 나 BitPaymer와 같은 랜섬웨어가 유포된 이력도 확인되었다. Dridex 악성코드를 제작 및 유포하는 공격 그룹과 랜섬웨어를 유포하는 공격 그룹이 코드나 유포 방식을 보아 상당 부분 겹친다는 정황도 확인되었다.[1][2][3] ASEC 분석팀은 스팸메일과 Microsoft Offce…
DoppelPaymer 랜섬웨어 동작방식 및 V3 탐지 Posted By ASEC , 2021년 2월 22일 최근 미국의 의료 서비스 및 교육기관을 타깃으로 이슈가 되었던 ‘DoppelPaymer 랜섬웨어’에 관하여 트렌드 마이크로에서 조사 결과를 발표 하였다. DoppelPaymer 랜섬웨어는 해외의 국내 기업까지 피해가 확산되며 이슈가 되고 있다. https://www.etnews.com/20210218000110 https://news.mt.co.kr/mtview.php?no=2021021822141892938 https://www.dailysecu.com/news/articleView.html?idxno=120820 https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html 트렌드 마이크로의 조사에 따르면 DoppelPaymer는 정상 문서파일로 위장한 악성파일(예: EMOTET)의 다운로드 링크 또는 첨부파일이 포함된 스팸 이메일을 통해 유포되며, 실행된 악성코드(예: EMOTET)는 C&C 통신을 통해 [그림 3] 과 같이 Dridex 악성코드를 다운로드 하고 Dridex 악성코드로부터 DoppelPaymer 랜섬웨어가 다운로드 되었다고 설명하였다. 보고서에는 추가적으로 DoppelPaymer 랜섬웨어는 악성 루틴을 실행하기 위해서 실행…