코인 마이너와 함께 설치되는 PyBitmessage 백도어 악성코드
AhnLab SEcurity intelligence Center(ASEC)에서는 최근 모네로 코인마이너와 함께 배포되는 새로운 유형의 백도어 악성코드를 포착했다. 이번 블로그에서 다룰 악성코드는 전통적인 HTTP 통신 및 IP connect 방식 대신, PyBitmessgae 라이브러리를 활용해 P2P(Peer to Peer) 네트워크 상에서 통신을 수행하며, 통신 내용을 종단 간 암호화한다. 이를 통해 중앙 집중형 서버가 남기는 흔적을 은닉하여 기존 안티바이러스
브라우저 업데이트로 위장한 악성코드
최근 ASEC(AhnLab SEcurity intelligence Center)에서는 브라우저 업데이트로 위장한 악성코드가 불특정 다수를 대상으로 유포 중인 정황을 확인하였다. 해당 악성코드는 감염된 웹 사이트를 통해 유포되며 사용자가 감염된 웹 사이트에 접속하게 될 경우 악성 스크립트가 로드 된다. 악성 스크립트는 크롬이나 파이어폭스 등의 브라우저 업데이트 창을 생성하며 사용자가 악성 파일을 직접 다운로드 하도록 유도한다.
Fileless로 동작하는 Revenge RAT 악성코드
ASEC(AhnLab SEcurity intelligence Center)은 최근 정상 Tool을 감싸 만든 Revenge RAT 악성코드가 유포중인 것을 포착했다. 공격자는 smtp-validator, Email To Sms 등의 이름을 가진 Tool을 활용한 것으로 확인되며, 실행 시점에 정상 Tool과 악성 파일을 동시에 생성하여 실행함으로써 사용자 측에서 악성행위가 발생하는 것을 인지하기 어렵게 만들었다. 공격자는 아래 코드와 같이 smtp-verifier.exe(정상 Tool)을
WSF 스크립트로 유포되는 AsyncRAT
ASEC(AhnLab Security Emergency response Center) 분석팀은 이전에 .chm 확장자를 통해 유포되는 AsyncRAT에 대한 내용을 게시한 적이 있다.[1] 이러한 유형의 AsyncRAT 악성코드가 최근 WSF 스크립트 형태로 변형되어 유포되는 정황을 확인하였다. WSF 파일은 이메일 등에 포함된 URL 링크에서 압축파일 형태(.zip)로 유포되는 것으로 확인된다. [다운로드 URL]1. https://*****************.com.br/Pay5baea1WP7.zip2. https://************.za.com/Order_ed333c91f0fd.zip3. https://*************.com/PAY37846wp.zip4. https://*****.****.co/eBills37890913.zip 최초 다운로드
스팸 메일로 유포되는 정보탈취 악성코드(AgentTesla)
AhnLab Security Emergency response Center(ASEC)은 메일을 통해 악성 BAT파일로 유포되는 AgentTesla 정보 탈취 악성코드의 유포 정황을 발견했다. BAT파일은 실행되면 AgentTesla(EXE)를 사용자 PC에 생성하지 않고 실행하는 파일리스(Fileless) 기법으로 실행된다. 해당 블로그를 통해 스팸 메일로부터 최종 바이너리(AgentTesla)까지 유포되는 동작 흐름 및 관련 기법에 관해 설명한다. [그림 1]은 AgentTesla 악성코드를 유포하는 스팸메일 본문이다.
FileLess 형태로 유포 중인 AsyncRAT
ASEC 분석팀은 최근 FileLess 형태로 AsyncRAT 악성코드가 유포 중인 것을 확인하였다. 유포 중인 AsyncRAT 은 다수의 스크립트 파일을 통해 FileLess 형태로 실행되며, 이메일 내 압축파일로 첨부되어 유포되는 것으로 추정된다. AsyncRAT 은 닷넷으로 개발된 오픈 소스 RAT 악성코드로 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있다. 피싱 메일을 통해 유포되는
매그니베르 랜섬웨어 취약점 변경 (CVE-2021-40444)
매그니베르 랜섬웨어는 IE 취약점을 이용하여 Fileless 형태로 감염되는 랜섬웨어로 국내 사용자 피해가 많은 랜섬웨어 중 하나이다. 취약점 발생 단계에서 사전 탐지 및 차단하지 않으면 감염을 막기 어려운 구조로 백신 프로그램에서 탐지가 어려운 상황이다. 매그니베르 랜섬웨어는 2021년 3월 15일에 CVE-2021-26411 취약점을 사용하여 최근까지 유포되고 있었으나, 9월 16일에는 CVE-2021-40444 취약점으로 변경된
피싱메일에 첨부된 PPT 파일을 통해 유포되는 AgentTesla !!
ASEC 분석팀은 피싱메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 것을 확인하였다. 악성코드가 유포되고 동작하는 방식은 ASEC 블로그를 통해 지속적으로 소개해왔던 방식에서 크게 벗어나지 않으며, 기존에 사용했던 방법들을 조합한 것이 특징이라고 할 수 있다. AgentTesla 악성코드 국내에 어떻게 유포되고 있나? – ASEC BLOG 올해 초부터 피싱 메일에 악성 파워포인트(*.PPT) 파일이 첨부되어
주의! 매그니베르(Magniber) 랜섬웨어 IE 0-Day 취약점으로 국내 유포 중
매그니베르(Magniber) 랜섬웨어 유포자는 V3의 진단을 회피하기 위해 지속적으로 진화해왔다. ASEC블로그를 지속적으로 구독해온 구독자라면 안랩과 매그니베르 랜섬웨어 제작자와의 쫓고 쫓기는 긴 역사에 대해선 익히 알고 있을 것이다. 매그니베르 유포자는 안랩 창립기념일(3/15)로 휴일인 날을 노려 그 동안 사용해왔던 취약점(CVE-2020-0968) 대신 CVE-2021-26411 취약점으로 긴급 변경하였다. ASEC 분석팀은 이러한 탐지 우회 시도를 빠르게 인지하기
견적서/발주서 제목의 정보유출 악성코드(Formbook) 주의!
Formbook 악성코드는 예전부터 현재까지 지속적으로 유포되어온 정보 탈취 유형의 악성코드이다. 최근에는 업체명의 이름이 들어간 파일명으로 Formbook 악성코드가 유포되고 있어 각별한 주의가 필요하다. Formbook 악성코드는 지난 ASEC 주간 악성코드 통계에 따르면 전체 악성코드 유포량 중 2위를 차지하고 있으며, 악성코드가 유포되는 방식은 전과 동일하게 악성코드가 첨부파일에 포함된 메일을 통하여 유포가 이루어지고
