Android Malware & Security Issue 2024년 8월 3주차
ASEC Blog를 통해 한 주간의 “Android Malware & Security Issue – 2024년 8월 3주차”를 게시한다.
주간 피싱 이메일 유포 사례 (2024/08/04~2024/08/10)
본 포스팅에서는 2024년 08월 04일부터 08월 10일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL) 를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어등)을 구분하여 소개 한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로
2024년 07월 APT 공격 동향 보고서(국내)
본 보고서는 2024년 7월 한 달 동안 확인된 APT 국내 공격에 대한 분류 및 통계를 다루며, 유형별 기능을 소개한다. 아래는 일부의 내용을 요약한 정보이다. [목차] 개요 APT 국내 공격 동향 1) Spear Phishing 1.1 LNK를 활용한 공격 1.2 HWP를 활용한 공격 1.3 JSE를 활용한 공격 1.4 DOC를 활용한 공격 1.5
Android Malware & Security Issue 2024년 8월 2주차
ASEC Blog를 통해 한 주간의 “Android Malware & Security Issue – 2024년 8월 2주차”를 게시한다.
주간 피싱 이메일 유포 사례 (2024/07/28~2024/08/04)
본 포스팅에서는 2024년 07월 28일부터 08월 04일까지 한 주간 확인된 피싱 이메일 공격의 유포 사례 정보(이메일 제목, 첨부파일, URL) 를 제공한다. 가짜 로그인 페이지 유형(FakePage)과 악성코드 유형(정보유출, 다운로더, 취약점, 백도어등)을 구분하여 소개 한다. 유포 사례에서 다루는 피싱 이메일은 첨부파일이 있는 이메일만을 대상으로 한다. 이메일 제목과 첨부파일 명에 등장하는 숫자는 일반적으로
스테가노그래피 기법을 활용한 악성 앱 분석 보고서
1. 개요 스테가노그래피(Steganography)는 데이터 은닉 기술 중 하나로, 정상 파일 내 숨기고자 하는 데이터를 삽입하는 기술로 주로 윈도우 환경에서 정상 파일에 악성코드를 삽입해 Anti virus(AV) 제품의 탐지를 회피하고, 프로그램 실행 시 은밀하게 동작하는 것을 목표로 한다. 최근에는 악성 앱이 자신의 행위를 은닉하고자 페이로드 다운로드, 패킹 등 다양한 기법을 활용한 사례는
Android Malware & Security Issue 2024년 8월 1주차
ASEC Blog를 통해 한 주간의 “Android Malware & Security Issue – 2024년 8월 1주차”를 게시한다.
다운로드 시도 마다 새로 태어나는 InnoSetup 악성코드
AhnLab SEcurity intelligence Center(ASEC)에서는 크랙 및 상용 툴로 위장하여 유포 중인 악성코드 중 새로운 유형의 악성코드를 확인하였다. 해당 유형은 실행 즉시 악성 행위를 했던 기존 악성코드와는 다르게 인스톨러 UI가 출력되며, 버튼을 눌러 설치 과정을 진행할 경우 악성 행위를 시작한다. 또한 일반적으로 미리 생성한 악성코드를 유포하는 방식이 아닌, 사용자가 다운로드 요청을
MS-Office 수식 편집기 취약점을 이용해 설치되는 키로거 (Kimsuky)
AhnLab SEcurity intelligence Center(ASEC) 에서는 Kimsuky 공격 그룹이 최근 MS오피스에 포함된 수식 편집기 프로그램인 EQNEDT32.EXE 관련 취약점(CVE-2017-11882)을 악용해 키로거 악성코드를 유포한 내용을 확인했다. 공격자는 취약점을 사용해 mshta 프로세스로 악성 스크립트가 삽입된 페이지를 실행하는 방식으로 키로거 악성코드를 유포했다. mshta로 접속하는 페이지는 실제 http://xxxxxxxxxxx.xxxxxx.xxxxxxxx.com/images/png/error.php 로 “error.php” 파일명을 사용한다. 사용자는 [그림 2]처럼 “Not
Notion 설치파일로 위장한 MSIX 악성코드 유포
Notion 설치 파일로 위장한 MSIX 악성코드가 유포 중이다. 유포지는 실제 Notion 홈페이지와 유사하게 구현되어 있다. 다운로드 버튼을 클릭하면 “Notion-x86.msix” 이름의 파일이 다운로드된다. 해당 파일은 Windows app Installer이며 유효한 서명을 가지고 있다. 실행 시 다음과 같은 화면을 보이며 설치를 누를 경우 Notion이 설치됨과 동시에 악성코드에 감염된다. 설치 시 프로그램 경로에 StartingScriptWrapper.ps1
