Trojan

코로나19 보호장비 업체를 가장하여 유포 중인 Emotet 악성코드

ASEC 분석팀은 지난달 Emotet 악성코드가 국내에 유포 중임을 공유하였다. 금일 확인된 피싱 메일에는 코로나19와 관련된 내용을 포함하고 있어 사용자의 각별한 주의가 필요하다. https://asec.ahnlab.com/1358 피싱 메일의 내용을 보면 코로나19 관련한 체온계, 마스크 등 보호장비를 취급하는 업체로 소개하고 있으며, 이러한 보호장비에 대한 관심이 있을 경우 첨부한 문서를 열람하도록 유도한다. 공격자는 최근 국내 코로나19 확진자 증가로 보호장비에 대한 관심이 늘어난 것을 이용한 것으로 추정된다. 메일에 첨부된 파일은 악성 매크로를 포함하고 있는 워드 파일로, 매크로 사용을 유도하고 있다. 악성 매크로는 이전 공유한 Emotet 다운로더와…

Autorun.inf에 쓰레기 데이터를 채운 DorkBot

악성코드에서 USB와 같은 이동형 저장 장치를 자신의 복제본을 전파하기 위한 수단으로 사용되기 시작한 것은 이미 오랜전 일로 변해버렸다. 이러한 이동형 저장 장치를 악성코드 전파의 수단으로 사용되는 점은 과거 플로피 디스켓이 DOS 운영체제에 감염되는 바이러스의 전파 수단이 되는 것과 같은 동일한 선상에 있다고 할 수 있다. 이러한 USB와 같은 이동형 저장 장치로 인해 악성코드가 유포되었던 대표적인 사례들은 아래와 같이 정리 할 수 가 있다. 2010년 5월 21일 – 호주 보안 컨퍼런스에서 악성코드에 감염된 USB 배포 2010년 6월 2일 – 독일에 수출된 삼성 바다폰에 감염된 악성코드 2010년 9월 10일 – 해외에서 이메일을 이용해 대량 유포된 Swisyn 웜 이러한 대표적인 사례들 외에도 다수의 악성코드들에서 USB와 같은 이동형 저장 장치를 악성코드 유포의 매개체로 하여 사용되었던 사례들이 존재하며, 현재까지도 이러한 사례들이 적지 않게 발견되고 있다. 2012년 12월 4일…

국방 관련 내용의 0-Day 취약점 악용 한글 파일

ASEC에서는 그 동안 한글과 컴퓨터에서 개발하는 한글 소프트웨어에 존재하였던 취약점들을 악용하여 원격 제어 형태의 악성코드 감염을 시도하는 형태의 위협들에 대해서 지속적으로 알려 왔었다. 금일 다시 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(0-Day, Zero-Day) 취약점을 악용하여 원격 제어 형태의 악성코드 감염을 시도한 사례가 발견되었다. 현재 ASEC에서는 금일 발견된 해당 제로 데이 취약점에 대해 자세한 분석을 진행 중에 있다. 이 번에 발견된 취약한 한글 파일은 한국 시각으로 11월 21일에서 22일 사이에 정부 기관을 대상으로 유포된 것으로 추정된다. 해당 제로 데이 취약점을 가지고 있는 취약한 한글 문서를 열게 되면, 아래 이미지와 동일하게 “한국 공군의 위상에 대한 평가와 진단“이라는 제목의 문서 내용이 보여지게 된다. 해당 취약한 한글 문서를 한글과 컴퓨터에서 제공하는 최신 보안 패치가 모두 적용된 한글2010이 설치된 시스템에서 열게 되면 아래 경로에 “HncCtrl.exe (139,264 바이트)” 파일이…

해커 그룹 어나니머스를 사칭한 랜섬웨어 발견

랜섬웨어(Ransomware)는 동유럽과 러시아 등지에서 제작되는 것으로 알려져 있으며, 주로 문서나 사용하는 컴퓨터 시스템의 정상적인 사용을 방해하고, 그 댓가로 금전을 요구하는 형태로 알려져 있다. 현재까지 ASEC에서 파악한 랜섬웨어들은 악성코드 제작자에 의해 직접 제작되는 경우도 있으나 최근에는 다른 일반적인 악성코드와 동일하게 랜섬웨어 생성기에 의해 제작되는 사례도 존재 한다 그리고 국지적인 한계를 벗어나 감염된 시스템의 윈도우에서 사용하는 언어를 확인하여 그에 맞는 언어로 표기하는 형태도 있어, 한국어 윈도우에서는 한국어로 표기하는 랜섬웨어도 발견된 사례가 있다. 11월 2일, 해외에서 유명 해커 그룹인 어나니머스(Anonymous)를 사칭한 랜섬웨어가 발견되었다.  이 번에 발견된 랜섬웨어는 감염된 시스템에서 스위스 보안 그룹 Abuse.ch에서 공개한 아래 이미지처럼 어나니머스의 로고와 메시지를 보여주고, 정상정인 시스템 사용을 위해 금전적인 댓가를 지불할 것을 요구 하고 있다. 이 번에 발견된 랜섬웨어가 시스템에서 실행 되면 우선 구글로 접속을 시도하여 감염된 시스템이 존재하는 지리적 위치를 확인하게 된다….

이스라엘 정부 기관 대상의 타겟 공격 발생

이스라엘 언론인 The Times of Israle의 “How Israel Police computers were hacked: The inside story“을 통해 이스라엘 정부 기관을 대상으로 한 타겟 공격(Targeted Attack)이 발생하였음이 공개되었다. 이러한 정부 기관을 대상으로 한 타겟 공격은 최근에는 10월 18일 대만 기상청을 대상으로한 타겟 공격이 발견된 사례가 있다. 특히 이 번에 발견된 이스라엘 정부 기관을 대상으로 한 타겟 공격은 대만 기상청을 대상으로 한 타겟 공격과 유사한 형태로 이메일을 통해 시작되었다. 이스라엘 정부 기관을 대상으로한 타겟 공격에 사용된 이메일은 다음과 같은 메일 형식을 가지고 있는 것으로 트렌드 마이크로(Trend Micro)에서 블로그 “Xtreme RAT Targets Israeli Government“를 통해 밝히고 있다. 발신인 – bennygantz59.gmail.com  이메일 제목 – IDF strikes militants in Gaza Strip following rocket barrage 첨부 파일명 – Report & Photos.rar 첨부된 Report & Photos.rar의 압축을 풀게 되면 “IDF strikes militants in…