VBS를 통해 유포 중인 AgentTesla Posted By ASEC , 2022년 10월 25일 ASEC 분석팀은 최근 악성 VBS 통해 AgentTesla가 유포되고 있음을 확인하였다. 스크립트 파일에는 다수의 코드가 여러 번 난독화 되어 있는 특징이 있다. AgentTesla는 지난 5월 윈도우 도움말 파일(*.chm)을 통한 유포가 확인된 이력이 있으며 지속적으로 유포 방식을 변경하고 있는 것으로 보인다. VBS 스크립트는 메일에 압축 파일 형태로 첨부되어 유포된다. 최근에는 국내 기업을 사칭한 유포 메일도 확인되었다. 압축파일 내부에는 VBS가 존재하며 유포 파일명으로 송장, 제안서 등의 파일명을 주로 사용한다. 확인된 파일명은 다음과 같다. 날짜 파일명 10/05 doc_10049500220529464169750.pdf.vbs 10/07 doc_5246701207754814333490.vbs 10/12 № 106 –…
생일 축하 내용으로 위장한 악성 한글 문서 (OLE 개체) Posted By ASEC , 2022년 8월 23일 ASEC 분석팀은 최근 악성 한글 파일을 다운로드 하는 VBScript를 확인하였다. 해당 악성코드의 정확한 유포경로는 확인되지 않았지만 VBScript는 curl을 통해 다운로드 된다. 현재 확인된 명령어는 다음과 같다. 두 명령어 모두 %APPDATA% 폴더에 vbtemp 명으로 스크립트를 저장한다. hxxp://datkka.atwebpages[.]com/2vbs 에는 아래 그림과 같이 작업 스케줄러 등록 및 추가 파일 다운로드 등의 기능을 수행하는 VBScript 코드가 존재한다. 다운로드 된 vbtemp 파일은 wscript //e:vbscript //b %APPDATA%\vbtemp 명령을 통해 실행된다. 스크립트가 정상적으로 실행되기 위해서는 %APPDATA% 폴더에 tmp~pth 파일이 존재해야 한다. 현재 tmp~pth 파일은 확인되지 않았지만 APPDATA 폴더의…
탈북자 이력서 양식을 가장한 APT 공격 (VBS 스크립트) Posted By ASEC , 2022년 3월 29일 ASEC 분석팀은 최근 대북 관련 내용의 피싱 메일을 통해 정보 유출 목적의 악성 VBS가 유포되고 있음을 확인하였다. 대북 관련 방송의 섭외 내용을 담고 있으며 압축 파일이 첨부되어 있다. 이력서 작성을 언급하여 첨부된 파일의 실행을 유도한다. 압축 파일 내부에는 악성 VBS 스크립트 파일이 존재한다. ‘2022 이력서 양식.vbs’ 파일의 간략한 행위는 다음과 같다. 정보 수집 및 전송 정상 한글 파일 생성 추가 악성 스크립트 파일 생성 및 작업 스케줄러 등록 VBS 파일 실행 시 아래의 명령어를 통해 사용자 PC의 정보를 수집한다. 수집…
견적서 위장 악성코드 유포 방식의 변화 (VBS 스크립트) Posted By ASEC , 2022년 2월 22일 ASEC 분석팀은 지난해 특정 업체의 이름이 포함된 파일명으로 유포된 Formbook 악성코드가 최근 VBS 파일을 통해 유포되고 있음을 확인하였다. 유포가 확인된 메일에는 여전히 견적서 요청 관련 내용을 담고 있으며, 첨부파일명에 특정 회사의 이름이 포함되어 있어 사용자가 첨부파일을 실행하도록 유도한다. 견적서/발주서 제목의 정보유출 악성코드(Formbook) 주의! (21.02.04) 메일에 첨부된 압축파일에는 실행 파일이 아닌 VBS 파일이 존재한다. 해당 악성 파일은 동일한 업체 명에 유포 날짜만 다르게 한 파일명으로 유포되고 있는 것으로 확인된다. 현재 유포가 확인된 파일명은 아래와 같다. 한*산업개발(2022.02.03).pdf.vbs 한*산업개발(2022.02.04).pdf.vbs 한*산업개발(2022.02.07).pdf.vbs 한*산업개발(2022-02-10).pdf.vbs 한*산업개발(2022.02.16).pdf.vbs 한*산업개발(2022.02.17).vbs…
마이크로소프트 2012년 8월 보안 패치 배포 Posted By ASEC , 2012년 8월 16일 마이크로소프트(Microsoft)에서 2012년 7월 한 달 동안 해당 업체에서 개발한 소프트웨어에서 발견된 보안 취약점들을 제거하기 위해 보안 패치를 2012년 8월 15일 배포하였다. 이번에 마이크로소프트에서 배포된 보안 패치들은 총 9건으로 다음과 같다. Microsoft Security Bulletin MS12-052 – 긴급 Internet Explorer 누적 보안 업데이트 (2722913) Microsoft Security Bulletin MS12-053 – 긴급 원격 데스크톱의 취약점으로 인한 원격 코드 실행 문제점 (2723135) Microsoft Security Bulletin MS12-054 – 긴급 Windows 네트워킹 구성 요소의 취약점으로 인한 원격 코드 실행 문제점 (2733594) Microsoft Security Bulletin MS12-055 – 중요 Windows 커널 모드 드라이버의 취약점으로 인한 권한 상승 문제점 (2731847) Microsoft Security Bulletin MS12-056 – 중요 JScript 및 VBScript 엔진의 취약점으로 인한 원격 코드 실행 문제점 (2706045) Microsoft Security Bulletin MS12-057 – 중요 Microsoft Office의 취약점으로 인한 원격 코드 실행…
