Larva-24009 공격자의 스피어 피싱 공격 사례 보고서
ASEC(AhnLab SEcurity intelligence Center)은 최근 Larva-24009 공격자가 국내 사용자들을 대상으로 스피어 피싱 공격을 수행 중인 것을 확인하였다. Larva-24009 공격자는 적어도 2023년 경부터 활동이 시작되고 있으며 주로 해외 사용자들을 대상으로 스피어 피싱 공격을 사용해 왔다. 하지만 최근에는 국내 사용자들을 대상으로도 감염 사례가 확인되는 것이 확인되었다. 공격자에 대한 정보는 알려져 있지
러시아와 북한 파트너쉽에 관한 논문을 위장한 APT 공격 (Kimsuky)
ASEC(AhnLab SEcurity intelligence Center)에서는 최근 국내 사용자를 타겟으로 한 APT 공격 정황을 확인하였다. 해당 공격 과정에서 공격자는 Github 리퍼지토리를 이용하였으며, 해당 리퍼지토리에는 공격에 사용되는 다수의 악성 스크립트와 정상 미끼 파일이 업로드 되어 있다. 그림 1. 공격자의 Github 리퍼지토리 업로드 된 다수의 악성 스크립트를 통해 악성 행위가 수행되며, 최종적으로
Notion 설치파일로 위장한 MSIX 악성코드 유포
Notion 설치 파일로 위장한 MSIX 악성코드가 유포 중이다. 유포지는 실제 Notion 홈페이지와 유사하게 구현되어 있다. 다운로드 버튼을 클릭하면 “Notion-x86.msix” 이름의 파일이 다운로드된다. 해당 파일은 Windows app Installer이며 유효한 서명을 가지고 있다. 실행 시 다음과 같은 화면을 보이며 설치를 누를 경우 Notion이 설치됨과 동시에 악성코드에 감염된다. 설치 시 프로그램 경로에 StartingScriptWrapper.ps1
세금계산서로 가장하여 유포되는 Remcos RAT 악성코드
ASEC 분석팀은 세금계산서로 가장한 Remcos RAT 악성코드가 유포되는 정황을 확인하였다. 피싱메일의 내용과 유형은 기존에 본 블로그를 통해 지속적으로 공유했던 형태와 크게 다르지 않다. 메일 본문에는 어색한 문법으로 쓰여진 짧은 메세지가 포함되어있다. 다만 관련업무를 하고있을경우 메일 내용에는 크게 개의치않고 무심코 첨부파일을 실행할 가능성이 있으므로 주의가 필요하다. 그림 1) 세금계산서로 위장한 악성코드가
새롭게 변형되어 유포 중인 JS.BlueCrab 랜섬웨어
ASEC 분석팀은 JS형태로 유포되는 BlueCrab 랜섬웨어의 감염 과정에서 큰 변형이 발생한 것을 확인하여 관련 내용을 공유하고자 한다. JS.BlueCrab 랜섬웨어는 다운로드 페이지를 위장한 피싱 페이지로부터 유포된다. 공격자는 취약한 워드프레스 환경의 웹 서버를 탈취하여 다수의 악성 게시글을 업로드 하며 해당 악성 게시글에 접속 시 다음과 같이 다운로드 페이지로 위장한 피싱 페이지가 출력된다.
‘원산지 조사 자율 점검표’ 한글(HWP) 악성코드 유포
ASEC 분석팀은 7월 23일 악성 EPS를 포함한 한글 문서가 유포되고 있음을 확인하였다. 문서에 포함된 악성 PS(Post Script)파일의 주요 행위는 7월 15일 아래의 글을 통해 확인한 코로나 예측 결과 위장 엑셀문서와 유사하다. 해당 문서에는 원산지 조사 자율 점검표가 존재하며, 문서 정보로 보아 실제 ‘국가법령정부센터’에서 제공한 문서를 악의적으로 가공한 것으로 추정된다. 코로나
Avaddon 랜섬웨어 유포 스크립트 및 V3 행위탐지
지난 6월 26일 “RigEK 이용한 Avaddon 랜섬웨어 국내 유포 중(*.avdn 확장자)“라는 제목으로 블로그를 통해 분석 정보를 공유하였다. ASEC 분석팀은 금일 이 Avaddon 랜섬웨어 유포에 사용된 자바 스크립트 파일을 확인하여 이에 대한 내용과 해당 유포에 사용된 방법이 V3 행위탐지에 의해 사전 차단되는 내용을 소개하고자 한다. RigEK 이용한 Avaddon 랜섬웨어 국내 유포 중(*.avdn 확장자) 6월 초에 아래의 해외 사이트를 통해
