Ransomware

워드 문서를 통해 유포되는 LockBit 3.0 랜섬웨어

ASEC 분석팀은 9/23 공유한 <입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어>가 워드 문서 형태로도 유포되는 것을 확인하였다. 정확한 유포 경로는 확인되지 않았으나, 유포 파일명으로 ‘임규민.docx’, ‘전채린.docx’ 등 사람 이름을 사용하는 것으로 보아 전과 유사하게 입사지원서를 위장하여 유포되었을 것으로 추정된다. 확인된 워드 문서 내부 word\_rels\settings.xml.rels 파일에 External 링크가 존재한다. 이로 인해 문서 파일 실행 시 hxxp://ppaauuaa11232[.]cc/dlx5rc.dotm에 접속하여 추가 dotm 파일을 다운로드한다. 문서 파일 내부에는 매크로 사용을 유도하는 이미지가 존재한다. 다운로드 된 dlx5rc.dotm에는 VBA 매크로가 포함되어 있어 사용자가 콘텐츠 사용…

입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어

ASEC 분석팀은 LockBit 2.0 랜섬웨어가 메일을 통해 유포되고 있음을 지난 2월, 6월에 걸쳐 블로그에 게시한 바 있는데, 새로운 버전의 LockBit 3.0 랜섬웨어가 유사 방식을 통해 여전히 다수 유포 중 임을 알리고자 한다. 지난 6월에는 저작권 사칭 메일로 다수 유포가 되었던 반면 최근에는 입사지원 관련으로 위장한 피싱 메일을 통해 유포 중이다. 위 메일 캡처와 같이 첨부된 압축 파일명 자체에 압축 비밀번호가 명시된 경우가 있지만, 압축 파일명에 명시하지 않고 메일 본문에 압축 비밀번호를 명시한 케이스도 확인되었다. 후자의 경우 메일을 수신한 사용자만 이…

메일을 통해 유포되는 XLL 악성코드

그동안 악성코드는 다양한 형태와 방식으로 변화하며 제작되고 유포되고 있다. 그러한 변화들을 안랩 분석팀에서는 적극적으로 모니터링하며 분석하고 제품에 진단 반영되도록 하고있다. 이번에는 작년부터 유포정황이 확인된 XLL형식의 악성코드에 대해 소개하고자 한다. .xll 확장자로 동작 가능한 XLL 파일은 Microsoft Excel(엑셀)의 추가 기능 파일로 해당 MS Excel을 통해 파일을 실행 할 수 있다. 특이한 점은 실행은 MS Excel로 되어 문서의 외형을 할 것으로 오해할 수 있으나 이 XLL 파일은 DLL 실행파일 형태의 외형이다. 기존에 많이 소개된 VBA 매크로가 포함된 Excel파일(.xlam, .xlsm)의 경우 VBA로 제작되나,…

다양한 공격자들에 의해 사용되는 SystemBC 악성코드

SystemBC는 수년 전부터 다양한 공격자들에 의해 사용되고 있는 Proxy 악성코드이다. 최근에는 SmokeLoader나 Emotet을 통해 유포되고 있는 것이 확인되지만, 과거부터 꾸준히 여러 랜섬웨어 공격에서 사용된 사례들이 존재한다. 공격자가 악의적인 목적으로 특정 주소에 접근하려고 할 때, 감염된 시스템에서 Proxy Bot으로 동작하는 SystemBC를 활용할 경우 해당 시스템을 통로로서 활용할 수 있다. 이외에도 외부에서 추가 악성코드를 설치할 수 있는 다운로더 기능이 존재하기 때문에, 공격자는 추가 페이로드를 설치하는 수단으로서도 SystemBC를 활용 가능하다. 과거 유포 사례 SystemBC는 2019년 RIG 익스플로잇 킷과 Fallout 익스플로잇 킷을 통해 유포되었던…

지원서 및 저작권 관련 메일로 LockBit 랜섬웨어 유포 중

ASEC 분석팀은 최근 이력서, 저작권 관련 내용으로 사칭한 메일을 통해 랜섬웨어가 유포되고 있음을 확인하였다. 이러한 내용의 악성 메일은 과거부터 꾸준히 유포되고 있다. 기존 Makop 랜섬웨어를 유포했던 것과 달리 최근에는 LockBit 램섬웨어를 유포하고 있다. 저작권 위반 관련 내용으로 유포되는 Makop 랜섬웨어 이력서로 위장한 Makop 랜섬웨어 국내 유포 중 유포가 확인된 메일에는 암호가 설정된 압축 파일이 첨부되어 있다. [그림1]에 첨부된 압축 파일 내부에는 다음과 같이 ‘저작권법 관련하여 위반인 사항들 정리하여 보내드립니다.jpg’  파일과 ‘이미지 원본(제가 제작한 이미지)과 사용하고 있으신 이미지 정리한 내용.exe’ 파일이…