개인정보 유출 관련 내용으로 위장한 피싱 메일 유포 (Konni) Posted By leeikgyu , 2023년 12월 6일 AhnLab Security Emergency response Center(ASEC)은 최근 Konni 공격 그룹에 의해 개인정보 유출 관련 자료를 위장한 악성 exe 파일이 개인을 대상으로 유포되고 있음을 확인하였다. C2가 닫혀있어 최종 행위는 확인하지 못하였지만 공격자에게 난독화된 명령을 받아 xml 형식으로 실행하는 백도어형 악성코드이다. 악성 exe 파일을 실행하면 .data section에 존재하는 파일들을 %Programdata% 폴더에 생성한다. 생성된 파일들은 정상 doc 파일을 제외하고 난독화가되어있다. 생성된 파일 중 정상 ‘20231126_9680259278.doc’ 문서도 포함하여 사용자로 하여금 정상적인 파일이 실행된 것으로 보여지게 하려는 공격자의 의도로 보인다. Operator.jse은 WindowsHotfixUpdate.jse를 실행시키는 작업 스케줄러를 생성하며,…
소송 관련 내용의 악성 한글 HWP 파일 유포 – 코니(KONNI) 조직 Posted By ASEC , 2019년 12월 12일 오늘 ASEC 분석팀에 신규 악성 HWP 한글 파일이 접수되었다. 접수된 문서는 모 민간 병원의 법률 소송 관련 소송대리인 답변 내용으로 되어 있다. 한글 파일은 악성 포스트스크립트(Postscript) 파일을 포함하고 있다. 포스트스크립트를 통해 실행되는 쉘코드 기능을 파악한 결과, ‘코니(KONNI)’ 조직에서 유포한 한글 파일로 확인된다. 파일 정보 파일 타입: 한글 워드프로세서 문서 파일명: 이○○ 답변서 최정본. MD5: bbde7c694faf6b450adbfc8efe88a41a SHA256: f5339239a6bcda0afe61e6ef8bfafe51e4aba510b68e219e95cf4918033dc463 주요 행위 쉘코드는 실행시 악성 유포지 주소에 접속하여 2개의 파일을 다운로드한다. 현재 해당 주소에 접속이 가능하므로, 일부는 표기하지 않는다. 다운로드 받은 파일은 각각…
Operation Moneyholic With HWP Document Posted By ASEC , 2019년 9월 19일 안랩에서는 지난 8월 암호화폐 거래소와 이용자를 대상으로한 공격활동을 분석한 오퍼레이션 머니홀릭(Operation Moneyholic) 보고서를 발행했다. 오퍼레이션 머니홀릭(Operation Moenyholic) 조직은 해외에서 코니(KONNI)로 잘 알려져 있다. 최근 오퍼레이션 머니홀릭(Operation Moenyholic) 조직이 악성코드 유포를 위해 사용한 HWP 파일이 발견되어 이를 알아보고자 한다. [HWP Document] 한글과컴퓨터의 프로그램인 한글에서 사용하는 파일 형식으로 한글 문서 또는 HWP(Hangul Word Processor)라 불림 [스피어 피싱(Spear Phishing)] 특정인 또는 특정 조직을 대상으로한 맞춤형 공격 공격 대상의 사전조사 내용을 토대로하여 신뢰할 수 있는 위장 이메일을 발송하여 표적을 공격 발견된 HWP 파일은 스피어 피싱…