OneNote 와 CHM 을 통해 유포 중인 Qakbot 악성코드 Posted By gygy0101 , 2023년 4월 27일 AhnLab Security Emergency response Center(ASEC) 에서는 Qakbot 악성코드의 다양한 유포 방식에 대해 소개해왔으며, 지난 2월에는 원노트(OneNote) 로 유포되는 유형을 소개했었다. 최근 OnetNote 로 유포되는 Qakbot 이 다시 확인되었으며, 그 과정에 윈도우 도움말 파일(CHM) 이 이용되는 것을 포착하였다. 원노트 파일 실행 시, 아래와 같이 Microsoft Azure 이미지와 함께 Open 버튼을 클릭하도록 유도하는 것을 확인할 수 있다. 해당 버튼 위치에는 ISO 파일이 숨어 있어, 사용자가 Open 버튼을 클릭할 경우 임시 경로에 ISO 파일이 생성되며 마운트된다. ISO 파일 내에는 CHM 파일이 존재하며, README…
사례비 지급 내용으로 위장한 OneNote 악성코드 (Kimsuky) Posted By yeeun , 2023년 3월 20일 AhnLab Security Emergency response Center(ASEC)에서는 사례비 지급 내용으로 위장한 원노트(OneNote) 악성코드가 유포 중임을 확인하였다. 확인된 파일은 아래 블로그에 작성된 LNK 유형의 악성코드와 동일한 연구소를 사칭하고 있으며 실행되는 VBS 파일의 악성 행위가 유사한 것으로 보아 동일 공격 그룹의 소행으로 확인된다. 원 노트 파일 실행 시 다음과 같이 사례비 지급 내용을 담고 있으며, 한글 문서가 첨부된 것으로 보이는 위치를 클릭하도록 유도한다. 해당 위치에는 [그림 2]와 같이 한글 문서가 아닌 personal.vbs 명의 악성 스크립트 개체가 숨어 있다. 사용자가 이를 클릭하면 악성 VBS 파일이…
원노트(OneNote)로 유포 중인 Qakbot 악성코드 Posted By muhan , 2023년 2월 8일 안랩 ASEC은 지난 1월 마이크로소프트(MS) 원노트(OneNote)를 통해 유포되는 악성코드 분석 보고서를 공개하였다. 보고서에서 언급하였듯이, 최근 들어 Qakbot과 같은 상업용(Commodity) 악성코드들이 MS 오피스 매크로를 사용하는 기존의 유포 방식을 사용하지 않고, 원노트를 이용하여 악성코드를 실행하는 사례가 점차 많아지고 있다. 지난 02/01에 원노트를 통해 유포된 Qakbot 악성코드의 유포 사례를 보면 공격자는 [그림 2]와 같이 아웃룩의 첨부 파일 형태로 원노트 악성코드를 유포하였다. 사용자가 첨부파일을 실행하면 전형적인 MS 오피스 매크로 악성코드와 유사하게 “Open” 버튼 클릭을 유도한다.실제 “Open” 버튼 위치 근처에는 HTA(HTML Application) 개체가 [그림 3]과…
