‘이력서.xll’ 파일 국내 유포 중 (LockBit 2.0)
올해 중순에 ASEC 분석팀에서는 이메일을 통해 XLL 파일(확장자: .xll) 형식의 악성코드가 유포됨을 공유한 바 있다. XLL 파일은 실행파일인 PE(Portable Executable) 파일의 DLL 외형을 가졌으나, Microsoft Excel(엑셀)을 통해 실행된다. 그동안 이 유형의 악성코드 유포가 활발하지 않았으나, 오랜만에 ‘이력서.xll‘의 파일명으로 유포된 정황을 확인하였다. 2022년 5월 20일 게시글 : 메일을 통해 유포되는 XLL 악성코드
Koxic 랜섬웨어 국내 유포 중
Koxic 랜섬웨어의 국내 유포 정황이 확인되었다. 올해 초 최초로 수집되었지만 파일 외형과 내부 랜섬노트가 변형된 파일이 최근 ASD 인프라를 통해 탐지 및 차단된 이력을 확인하였다. 감염 시 암호화된 파일의 이름에 “.KOXIC_[랜덤문자열]” 확장자가 추가되며, 각 디렉터리에 TXT 파일의 랜섬 노트를 생성한다. 랜섬노트의 파일명은 다음과 같다. WANNA_RECOVER_KOXIC_FILEZ_[랜덤문자열].txt 최근 수집된 샘플의 랜섬
Surtr 랜섬웨어 국내 유포 중
ASEC 분석팀은 최근 내부 모니터링을 통해, 파일 암호화 후 원본 확장자 이름에 “[DycripterSupp@mailfence.com].[<랜덤문자열>].Surtr” 확장자를 추가하는 Surtr 랜섬웨어가 유포되는 것을 확인하였다. Surtr 랜섬웨어 감염 시, [그림 1, 2]와 같이 감염된 PC의 배경화면 변경 및 랜섬노트 생성을 통해, 사용자에게 랜섬웨어 감염 사실을 주지시키며, [그림 3]과 같이 감염된 파일이 존재하는 폴더마다 랜섬노트 파일(SURTR_README.hta 및
워드 문서를 통해 유포되는 LockBit 3.0 랜섬웨어
ASEC 분석팀은 9/23 공유한 <입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어>가 워드 문서 형태로도 유포되는 것을 확인하였다. 정확한 유포 경로는 확인되지 않았으나, 유포 파일명으로 ‘임규민.docx’, ‘전채린.docx’ 등 사람 이름을 사용하는 것으로 보아 전과 유사하게 입사지원서를 위장하여 유포되었을 것으로 추정된다. 확인된 워드 문서 내부 word\_rels\settings.xml.rels 파일에 External 링크가 존재한다.
입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어
ASEC 분석팀은 LockBit 2.0 랜섬웨어가 메일을 통해 유포되고 있음을 지난 2월, 6월에 걸쳐 블로그에 게시한 바 있는데, 새로운 버전의 LockBit 3.0 랜섬웨어가 유사 방식을 통해 여전히 다수 유포 중 임을 알리고자 한다. 지난 6월에는 저작권 사칭 메일로 다수 유포가 되었던 반면 최근에는 입사지원 관련으로 위장한 피싱 메일을 통해 유포
메일을 통해 유포되는 XLL 악성코드
그동안 악성코드는 다양한 형태와 방식으로 변화하며 제작되고 유포되고 있다. 그러한 변화들을 안랩 분석팀에서는 적극적으로 모니터링하며 분석하고 제품에 진단 반영되도록 하고있다. 이번에는 작년부터 유포정황이 확인된 XLL형식의 악성코드에 대해 소개하고자 한다. .xll 확장자로 동작 가능한 XLL 파일은 Microsoft Excel(엑셀)의 추가 기능 파일로 해당 MS Excel을 통해 파일을 실행 할 수 있다.
다양한 공격자들에 의해 사용되는 SystemBC 악성코드
SystemBC는 수년 전부터 다양한 공격자들에 의해 사용되고 있는 Proxy 악성코드이다. 최근에는 SmokeLoader나 Emotet을 통해 유포되고 있는 것이 확인되지만, 과거부터 꾸준히 여러 랜섬웨어 공격에서 사용된 사례들이 존재한다. 공격자가 악의적인 목적으로 특정 주소에 접근하려고 할 때, 감염된 시스템에서 Proxy Bot으로 동작하는 SystemBC를 활용할 경우 해당 시스템을 통로로서 활용할 수 있다. 이외에도 외부에서
지원서 및 저작권 관련 메일로 LockBit 랜섬웨어 유포 중
ASEC 분석팀은 최근 이력서, 저작권 관련 내용으로 사칭한 메일을 통해 랜섬웨어가 유포되고 있음을 확인하였다. 이러한 내용의 악성 메일은 과거부터 꾸준히 유포되고 있다. 기존 Makop 랜섬웨어를 유포했던 것과 달리 최근에는 LockBit 램섬웨어를 유포하고 있다. 저작권 위반 관련 내용으로 유포되는 Makop 랜섬웨어 이력서로 위장한 Makop 랜섬웨어 국내 유포 중 유포가 확인된
매그니베르 랜섬웨어 취약점 변경 (CVE-2021-40444)
매그니베르 랜섬웨어는 IE 취약점을 이용하여 Fileless 형태로 감염되는 랜섬웨어로 국내 사용자 피해가 많은 랜섬웨어 중 하나이다. 취약점 발생 단계에서 사전 탐지 및 차단하지 않으면 감염을 막기 어려운 구조로 백신 프로그램에서 탐지가 어려운 상황이다. 매그니베르 랜섬웨어는 2021년 3월 15일에 CVE-2021-26411 취약점을 사용하여 최근까지 유포되고 있었으나, 9월 16일에는 CVE-2021-40444 취약점으로 변경된
지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향 (2)
ASEC 분석팀에서는 TA551 그룹에서 공격에 사용한 DOC 매크로 문서들에 대해 지속적으로 소개하고 있다. 지난 7월에 소개한 내용과 매크로 문서의 동작방식은 달라진 것이 없으나, 이번에는 매크로 실행 후 최종단계에서 BazarLoader 를 유포하는 정황이 확인되었다. 지속적으로 변형유포되는 악성 DOC 매크로 – TA551 동향 (1) – ASEC BLOG ASEC 분석팀에서는 악성 매크로 파일에
