본문 바로가기

코로나5

'코로나바이러스 대응 긴급조회' 한글문서 악성코드 유포 ASEC분석팀은 '코로나바이러스 대응 긴급조회'로 위장한 악성 문서파일을 발견하였다. 과거 악성 문서파일들의 경우 Office 의 매크로 기능을 악용하여 사용자에게 콘텐츠 사용을 유도하는 방식을 주로 이용하였다. 그러나 이와 달리 4월 1일 발견된 문서 파일은 한글 파일을 사용하며, 전라남도 감염병관리지원단 을 사칭한 파일로 주의가 필요하다. 이 뿐만 아니라 인천광역시 감염병관리지원단을 사칭한 파일도 발견되고 있다. 이처럼 악성코드 제작자는 다양한 기관들을 사칭하고 있다. 한글 파일은 EPS(EncapEncapsulated Postscript) 파일을 포함하고 있으며 powershell.exe을 이용해 외부 URL 접속하여 추가 악성코드를 다운로드 한다. 다운로드된 파일은 정보탈취와 백도어의 기능을 가지.. 2020. 4. 2.
CoronaVirus 랜섬웨어에 의한 윈도우 복구 무력화 ASEC 분석팀은 감염 시, CoronaVirus.txt 이름의 랜섬노트를 생성하는 랜섬웨어가 국내에 유포 중인 것을 확인하였다. 아래의 그림에서 알 수 있듯이 암호화된 사용자의 파일의 복구를 댓가로 비트코인 지불(0.008 btc: 50$)을 요구한다. 지불을 위한 제작자와의 통신은 이메일을 통해 이루어지며, coronaVi2022@protonmail.ch 로 확인되었다. 랜섬노트 마지막의 "desine sperare qui hic intras"는 라틴어로 "여기에서 우리는 희망을 포기"라는 의미이다. 해당 랜섬웨어 실행 시, 분석팀 자동분석 시스템 RAPIT에서는 아래와 같이 프로세스 실행 흐름을 보여준다. 암호화 시 아래와 같이 원본 파일이름이 변경됨을 알 수 있다. (파란색이 원본 파일이름) C:.. 2020. 3. 25.
[주의] 코로나 바이러스와 연관된 악성코드 다수 유포 ASEC 분석팀은 세계적으로 이슈인 코로나 바이러스와 연관된 악성 코드들이 유포되고 있는 것을 확인하였다. 문서 내용이나 파일 이름 등이 코로나 바이러스와 관련되어 있으며, 2월말부터 현재까지 다양한 형태로 꾸준히 유포되고 있다. 초기 유포되던 악성코드는 테스트용이나 조크성 파일 등으로 유포된 반면, 최근에는 백도어, 다운로더 등 다양한 유형의 악성코드로 유포되고 있어 사용자의 큰 주의가 필요하다. 2020/02/25 [주의] 코로나 바이러스를 이용한 다양한 형태의 악성코드 유포 [주의] 코로나 바이러스를 이용한 다양한 형태의 악성코드 유포 전 세계적으로 이슈인 코로나 바이러스를 이용한 악성코드들이 다수 발견되고 있다. 테스트 파일, JOKE 파일, 실제 악성 파일까지 다양하게 존재하며 현재 코로나 바이.. 2020. 3. 24.
신천지 비상연락처 위장한 Bisonal 악성코드 유포 중 (2020.03.05) ASEC분석팀은 현재 우리나라에서 이슈가 되고있는 신천지 관련 악성코드가 유포된 것을 확인하였다. 유포 파일명은 xlsx 엑셀 또는 ppt 파워포인트 문서 파일로 보이지만, 유니코드 RLO(Right to Left Override) 방식을 이용하여 파일 확장자를 다른 형태로 보이도록 하였다. 실제 악성 파일은 *.scr 파일이다. 유니코드 RLO 변조 유포 악성 파일 신천지예수교회비상연락처(1).Rcs.xlsx 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직RCS.ppt - 신천지예수교회비상연락처(1).xlsx - 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직.ppt 분석 내용은 엑셀 파일을 기준으로 작성한다. 파일 실행 시 위와 같이 정상 엑셀파일을 함께 실행하여 사용자 .. 2020. 3. 5.
주의! 실시간 코로나19 현황 프로그램을 위장한 악성코드 유포 ASEC 분석팀은 국내와 일본 사용자를 대상으로 코로나 바이러스와 관련된 악성코드가 유포되고 있는 것을 확인하였다. 해당 악성코드는 코로나19 현황을 나타내는 팝업창을 생성하고 Temp 경로에 악성 파일을 드롭 후 실행한다. 이때 사용자 몰래 악성 파일이 생성되기 때문에 팝업창만 확인시 마치 정상 코로나 현황 프로그램으로 착각할 수 있어 사용자의 주의가 필요하다. 유포중인 파일은 아래와 같은 데이터를 디코딩 후, 특정 프로세스에 디코딩된 데이터를 인젝션(injection) 한다. 인젝션(injection) 된 데이터는 Temp 경로에 “국내 코로나 실시간 현황.exe”(정상) 와 “jjutest1.exe”(악성) 명으로 파일을 드롭 후 실행한다. “국내 코로나 실시간 현황.exe” 파일은 아래와 같이 코.. 2020. 2. 26.