Qakbot

가상 디스크 파일 (*.vhd) 로 유포 중인 Qakbot

최근 디스크 이미지 파일을 이용한 악성코드 유포가 증가하고 있다. 그 중 Qakbot 악성코드는 ISO 및 IMG 파일을 통해 유포되어 왔으며, 현재는 VHD 파일로 변경되어 유포 중인 것을 확인하였다. 이와 같이 Qakbot 악성코드가 디스크 이미지 파일(IMG, ISO, VHD) 을 이용하는 것은 MOTW(Mark of the Web) 을 우회하기 위한 것으로 보인다. 디스크 이미지 파일은 내부 파일 추출 또는 마운트 시, 내부 파일에 MOTW 가 상속되지 않아 MOTW 기능을 우회할 수 있다. 관련 페이지 : https://attack.mitre.org/techniques/T1553/005/ Qakbot 을 유포 중인 피싱 메일은 아래와 같다….

Qakbot 악성코드 국내 유포 중

ASEC 분석팀은 지난 9월에 소개했던 Qakbot 악성코드가 국내 사용자를 대상으로 유포 중인 것을 확인하였다. ISO 파일을 이용한 점을 포함한 전체적인 동작 과정은 기존과 유사하지만, 행위 탐지를 우회하기 위한 과정이 추가되었다. 먼저, 국내 사용자를 대상으로 유포된 이메일은 아래와 같다. 해당 메일은 기존 정상 메일을 가로채 악성 파일을 첨부하여 회신한 형태로, 이전에 블로그를 통해 소개했던 Bumblebee 와 IceID 의 유포 과정과 동일하다. 사용자는 이전 메일 내용이 포함되어 있어 정상적인 회신 메일로 착각할 수 있다. 최근 이와 같은 이메일 하이재킹 방식이 증가하고 있는…

Excel Macro 로 유포되던 Qakbot, ISO 파일로 유포 중

최근 ISO 파일을 통한 악성코드 유포 방식이 증가하고 있다. 그 중 뱅킹형 악성코드인 Qakbot 의 유포 방식이 Excel 4.0 Macro 를 이용하던 것에서 ISO 파일을 이용하는 것으로 변경되어 유포 중인 것을 확인하였다. ASEC 블로그를 통해 Qakbot 외에도 AsyncRAT, IcedID, BumbleBee 악성코드가 ISO 파일을 이용한 사례를 소개해왔는데, 이처럼 최근 악성코드를 유포하는 과정에 ISO 파일을 이용하는 사례가 증가하고 있는 것을 알 수 있다. 먼저, Qakbot 을 유포하는 피싱 메일은 [그림 1] 과 같으며 악성 HTML 파일이 첨부되어 있는 형태이다. 첨부된 HTML 파일을…

QakBot과 동일한 방법으로 유포중인 IcedID(BokBot) – 악성 엑셀 다수 유포 중

ASEC 분석팀은 최근 국내 사용자를 대상으로 악성 매크로를 이용한 스팸 메일의 유입이 증가하고 있는 정황을 확인하였다. 유포가 증가한 악성 Excel 파일명은 document-1962646879.xls 와 같이 document-[랜덤한숫자].xls 의 형식을 갖는다. 2021/02/18 2021/02/19 2021/02/20 2021/02/22 2021/02/23 document-10584312.xls document-722570027.xls외 다수 document-1007202158.xls document-1061590730.xls외 다수 document-685793410.xls document-755852080.xls외 다수 document-1121510433.xls document-1135287541.xls외 다수 document-1688341436.xlsdocument-1962646879.xls외 다수 악성 Excel 유포 현황 및 유포 파일명 압축 파일이 첨부되어 발송되는 스팸 메일에서 첨부 파일을 다운로드 받게 되면, 해당 압축 파일에는 Excel 파일이 포함되어 있는 것을 확인할 수 있다. 문서를 실행하면 아래와 같은…

급여명세서로 유포 중인 Qakbot 악성코드 (*.xlsb)

뱅킹형 악성코드로 알려진 QakBot(이하 QBot)이 최근 국내 사용자를 대상으로 유포되고 있음을 확인하였다. QBot은 2008년부터 존재했던 오래된 악성코드이다. 그러나 올 해부터 유포량이 급증해 해외에서 자주 거론된 바 있으며, 8월부터는 국내 사용자를 타겟으로 유포되고 있어 해당 블로그에서 소개하였다. 8월에는 VBS(Visual Basic Script)를 사용해 악성 실행 파일을 다운로드 하였다. 하지만 최근에는 다운로드 방식을 수식 매크로(Excel 4.0 Macro)를 사용해 악성 실행 파일을 다운로드한다. 수식 매크로(Excel 4.0 Macro)는 문서 바이러스가 유행했던 옛 방식이지만 최근에 다른 악성코드에서도 자주 사용되고 있는 방식이기도 하다. Qakbot의 첫 유입은 Phishing Mail로…