공공기관을 사칭하여 유포 중인 악성코드 주의(LNK) Posted By yeeun , 2023년 11월 9일 AhnLab Security Emergency response Center(ASEC)은 악성 바로가기(*.lnk) 파일이 공공기관을 사칭하여 유포되고 있음을 확인하였다. 공격자는 보안 메일로 위장한 악성 스크립트(HTML) 파일을 메일에 첨부하여 유포하는 것으로 보인다. 주로 통일, 안보 관계자를 대상으로 하며 정상 문서처럼 보이기 위해 사례비 지급에 관한 내용으로 위장한 것이 특징이다. 악성코드의 동작 방식 및 C2 형식이 이전 공유한 게시글[1] [2]과 유사한 것으로 보아 동일한 공격자로 추정된다. 해당 유형은 사용자 정보를 유출 및 추가 악성코드를 다운로드하며 간략한 동작 과정은 다음과 같다. 메일에 첨부된 HTML 파일 실행 시 다음과 같이…
악성 OLE 개체가 삽입된 한글 문서 주의 Posted By yeeun , 2023년 10월 27일 AhnLab Security Emergency response Center(ASEC)은 국방, 언론 등 특정 분야의 관계자를 대상으로 하는 악성 OLE 개체가 삽입된 한글 문서(.hwp)를 확인하였다. 악성코드는 주로 메일에 삽입된 다운로드 URL 혹은 첨부 파일을 통해 유포되는 것으로 추정된다. 유포되는 문서의 파일명이 국방, 통일, 교육 및 방송 분야와 관련되어 있어 공격자는 해당 분야 관계자를 대상으로 악성코드를 유포하는 것으로 보인다. 본문에서 분석한 한글 문서는 크게 두 가지 유형으로, 외부 URL에 접속하는 유형과 추가 스크립트 파일을 생성하는 유형이 확인되었다. [유형 2]의 경우 기존 게시글[1] 에서 확인된 악성코드와 동작…
입사지원서를 위장한 악성코드 유포 중 Posted By yeeun , 2023년 6월 1일 AhnLab Security Emergency response Center(ASEC)에서는 입사지원서를 위장한 악성 코드가 꾸준히 유포되고 있음을 확인하였다. 해당 악성코드에는 자사 제품명의 프로세스(V3Lite.exe)를 비롯해 다양한 백신 프로세스의 존재 여부를 확인하는 기능이 존재하며 국내 구인구직 사이트와 유사한 악성 URL을 통해 유포되고 있다. 확인된 다운로드 URL은 다음과 같다. 위 URL을 통해 다운로드 되는 악성 파일은 화면보호기(.scr) 확장자 및 한글 문서(.hwp) 아이콘을 지니고 있다. 파일 실행 시 [그림3]과 같이 내부 RCDATA에 존재하는 압축 파일 데이터가 %Public%\[6자리 랜덤 문자].zip 으로 저장된다. 이후 %Public%\Documents\Defender\[6자리 랜덤 문자] 폴더에 위 파일을 압축 해제하여 추가 파일을 생성한다. wechatweb.exe의 경우 파일명이 랜덤한…
프로필 양식 위장한 한글문서 (OLE개체) Posted By ASEC , 2022년 8월 29일 ASEC 분석팀은 최근 OLE 개체 및 플래쉬 취약점 이용한 악성 한글 문서를 확인하였다. 해당 취약점은 2020년 공유한 <한글문서(HWP) 내부 플래쉬 취약점 이용한 새로운 공격> 게시글에서 소개되었으며, 이번에 확인된 파일에도 당시와 동일한 악성 URL을 사용하고 있다. 해당 URL에는 여전히 플래시 취약점(CVE-2018-15982) 파일이 업로드되어 있어 사용자의 주의가 필요하다. 확인된 한글 파일 내부에는 OLE 개체가 삽입되어 있으며 해당 파일들은 한글 문서 실행 시 %TEMP% 폴더에 생성된다. 생성되는 파일은 다음과 같다. 기존에 알려진 powershell.exe, mshta.exe 파일을 바로 이용하지 않고, %TEMP% 경로에 복사하여 이용한 점은…
생일 축하 내용으로 위장한 악성 한글 문서 (OLE 개체) Posted By ASEC , 2022년 8월 23일 ASEC 분석팀은 최근 악성 한글 파일을 다운로드 하는 VBScript를 확인하였다. 해당 악성코드의 정확한 유포경로는 확인되지 않았지만 VBScript는 curl을 통해 다운로드 된다. 현재 확인된 명령어는 다음과 같다. 두 명령어 모두 %APPDATA% 폴더에 vbtemp 명으로 스크립트를 저장한다. hxxp://datkka.atwebpages[.]com/2vbs 에는 아래 그림과 같이 작업 스케줄러 등록 및 추가 파일 다운로드 등의 기능을 수행하는 VBScript 코드가 존재한다. 다운로드 된 vbtemp 파일은 wscript //e:vbscript //b %APPDATA%\vbtemp 명령을 통해 실행된다. 스크립트가 정상적으로 실행되기 위해서는 %APPDATA% 폴더에 tmp~pth 파일이 존재해야 한다. 현재 tmp~pth 파일은 확인되지 않았지만 APPDATA 폴더의…
