OneNote 와 CHM 을 통해 유포 중인 Qakbot 악성코드 Posted By gygy0101 , 2023년 4월 27일 AhnLab Security Emergency response Center(ASEC) 에서는 Qakbot 악성코드의 다양한 유포 방식에 대해 소개해왔으며, 지난 2월에는 원노트(OneNote) 로 유포되는 유형을 소개했었다. 최근 OnetNote 로 유포되는 Qakbot 이 다시 확인되었으며, 그 과정에 윈도우 도움말 파일(CHM) 이 이용되는 것을 포착하였다. 원노트 파일 실행 시, 아래와 같이 Microsoft Azure 이미지와 함께 Open 버튼을 클릭하도록 유도하는 것을 확인할 수 있다. 해당 버튼 위치에는 ISO 파일이 숨어 있어, 사용자가 Open 버튼을 클릭할 경우 임시 경로에 ISO 파일이 생성되며 마운트된다. ISO 파일 내에는 CHM 파일이 존재하며, README…
원노트(OneNote)로 유포 중인 Qakbot 악성코드 Posted By muhan , 2023년 2월 8일 안랩 ASEC은 지난 1월 마이크로소프트(MS) 원노트(OneNote)를 통해 유포되는 악성코드 분석 보고서를 공개하였다. 보고서에서 언급하였듯이, 최근 들어 Qakbot과 같은 상업용(Commodity) 악성코드들이 MS 오피스 매크로를 사용하는 기존의 유포 방식을 사용하지 않고, 원노트를 이용하여 악성코드를 실행하는 사례가 점차 많아지고 있다. 지난 02/01에 원노트를 통해 유포된 Qakbot 악성코드의 유포 사례를 보면 공격자는 [그림 2]와 같이 아웃룩의 첨부 파일 형태로 원노트 악성코드를 유포하였다. 사용자가 첨부파일을 실행하면 전형적인 MS 오피스 매크로 악성코드와 유사하게 “Open” 버튼 클릭을 유도한다.실제 “Open” 버튼 위치 근처에는 HTA(HTML Application) 개체가 [그림 3]과…
가상 디스크 파일 (*.vhd) 로 유포 중인 Qakbot Posted By ASEC , 2022년 12월 13일 최근 디스크 이미지 파일을 이용한 악성코드 유포가 증가하고 있다. 그 중 Qakbot 악성코드는 ISO 및 IMG 파일을 통해 유포되어 왔으며, 현재는 VHD 파일로 변경되어 유포 중인 것을 확인하였다. 이와 같이 Qakbot 악성코드가 디스크 이미지 파일(IMG, ISO, VHD) 을 이용하는 것은 MOTW(Mark of the Web) 을 우회하기 위한 것으로 보인다. 디스크 이미지 파일은 내부 파일 추출 또는 마운트 시, 내부 파일에 MOTW 가 상속되지 않아 MOTW 기능을 우회할 수 있다. 관련 페이지 : https://attack.mitre.org/techniques/T1553/005/ Qakbot 을 유포 중인 피싱 메일은 아래와 같다….
Qakbot 악성코드 국내 유포 중 Posted By ASEC , 2022년 10월 20일 ASEC 분석팀은 지난 9월에 소개했던 Qakbot 악성코드가 국내 사용자를 대상으로 유포 중인 것을 확인하였다. ISO 파일을 이용한 점을 포함한 전체적인 동작 과정은 기존과 유사하지만, 행위 탐지를 우회하기 위한 과정이 추가되었다. 먼저, 국내 사용자를 대상으로 유포된 이메일은 아래와 같다. 해당 메일은 기존 정상 메일을 가로채 악성 파일을 첨부하여 회신한 형태로, 이전에 블로그를 통해 소개했던 Bumblebee 와 IceID 의 유포 과정과 동일하다. 사용자는 이전 메일 내용이 포함되어 있어 정상적인 회신 메일로 착각할 수 있다. 최근 이와 같은 이메일 하이재킹 방식이 증가하고 있는…
Excel Macro 로 유포되던 Qakbot, ISO 파일로 유포 중 Posted By ASEC , 2022년 9월 30일 최근 ISO 파일을 통한 악성코드 유포 방식이 증가하고 있다. 그 중 뱅킹형 악성코드인 Qakbot 의 유포 방식이 Excel 4.0 Macro 를 이용하던 것에서 ISO 파일을 이용하는 것으로 변경되어 유포 중인 것을 확인하였다. ASEC 블로그를 통해 Qakbot 외에도 AsyncRAT, IcedID, BumbleBee 악성코드가 ISO 파일을 이용한 사례를 소개해왔는데, 이처럼 최근 악성코드를 유포하는 과정에 ISO 파일을 이용하는 사례가 증가하고 있는 것을 알 수 있다. 먼저, Qakbot 을 유포하는 피싱 메일은 [그림 1] 과 같으며 악성 HTML 파일이 첨부되어 있는 형태이다. 첨부된 HTML 파일을…
