악성코드 정보1153 송장 메일로 유포되는 엑셀 문서 주의 (2) 10월 22일 오전 국내 기업을 대상으로 다운로더 악성코드를 유포하는 스팸 메일이 유포되고 있어 사용자의 주의가 필요하다. 엑셀 파일에서 드롭되는 최종 DLL은 10월 17, 18일인 지난 주 목요일부터 금요일까지 유포된 형태와 동일하다. 2019.10.18 ‘급여명세서’ 메일로 유포되는 엑셀 문서 주의 https://asec.ahnlab.com/1254 ‘급여명세서’ 메일로 유포되는 엑셀 문서 주의 10월 17일 부터 국내 기업을 대상으로 다운로더 악성코드를 유포하는 스팸 메일이 다수 유포되고 있어 사용자의 주의가 필요하다. 현재 확인된 국내 기업을 대상으로 유포되고 있는 스팸 메일 제목은 “10월.. asec.ahnlab.com 이전 블로그에서 설명한 방식과의 차이점은, 현재 국내 기업을 대상으로 유.. 2019. 10. 22. ‘급여명세서’ 메일로 유포되는 엑셀 문서 주의 10월 17일 부터 국내 기업을 대상으로 다운로더 악성코드를 유포하는 스팸 메일이 다수 유포되고 있어 사용자의 주의가 필요하다. 현재 확인된 국내 기업을 대상으로 유포되고 있는 스팸 메일 제목은 “10월 급여명세서”와 "XX견적서" 이다. 해당 스팸 메일은 "QF001_1093_101819.xls", “P001_102019_4472.xls” 같은 파일 이름의 Microsoft Office Excel 문서 파일을 첨부하거나 OneDive 로 위장한 피싱 페이지를 통해 다운로드 받도록 한다. 메일 발송자는 “김선아”이며, 발송자와 메일 제목 내용은 달라질 가능성이 높다. 악성 엑셀 문서를 실행하면 다음과 같은 화면을 볼 수 있으며, 사용자의 매크로 사용 허용을 유도한다. 만약 매크로 사용을 허용한다면, 내부.. 2019. 10. 18. Kimsuky 조직 악성 HWP 한글 문서 유포 10월 16일 어제 안랩 ASEC 분석팀에 새로운 악성 HWP 한글 문서가 접수되었다. 확인 결과 Kimsuky 조직 유형으로 판단된다. 악성 한글 문서는 한반도의 대북 정책 관련 한미/한중 외교에 관한 질문 내용이다. 공격 대상은 정확히 확인되지 않았지만, 관련 전문가 또는 참가자를 대상으로 했을 것으로 보인다. 공격자는 CVE-2017-8291 고스트스크립트 취약점을 이용한 악성 EPS 이미지 포맷 파일을 문서에 삽입(아래 박스로 표기한 부분)하여 악성 기능을 실행하였다. 파일 정보 파일 타입: 한글 워드프로세서 문서 파일명: kinu 전문가 자문 요청사항(한미동맹과 한중관계).hwp (추정) MD5: 42ae424f27d83fa132b2967b64f6ba21 SHA256: d94f26158dc3fd.. 2019. 10. 17. [주의] 문서 형태로 유포되는 이모텟(Emotet) 악성코드 안랩 ASEC 분석팀은 국내 사용자를 대상으로 악성 VBA 매크로를 포함하고 있는 Word 파일이 유포되고 있음을 확인하였다. 해당 악성 VBA 매크로는 WMI를 통해 powershell을 실행하여 Emotet 악성코드를 다운로드하게 된다. Word 파일을 실행하게 되면 [그림 1]과 같이 VBA 매크로를 실행하도록 유도하는 문구의 그림이 존재한다. 유도 문구는 [그림 2]와 같이 다양한 형태로 유포되고 있다. 현재 유포되고 있는 VBA 매크로는 [그림 3]과 같이 쓰레기 코드 및 주석을 이용하여 난독화되어 있으며, [그림 4]는 난독화가 해제된 VBA 매크로이다. 코드를 분석한 결과, 지난해 11월 Emotet 악성코드를 유포하던 VBA 매크로는 cmd를 통해 powershell을 실행한 반면 현재 유.. 2019. 10. 11. Operation Moneyholic With HWP Document 안랩에서는 지난 8월 암호화폐 거래소와 이용자를 대상으로한 공격활동을 분석한 오퍼레이션 머니홀릭(Operation Moneyholic) 보고서를 발행했다. 오퍼레이션 머니홀릭(Operation Moenyholic) 조직은 해외에서 코니(KONNI)로 잘 알려져 있다. 최근 오퍼레이션 머니홀릭(Operation Moenyholic) 조직이 악성코드 유포를 위해 사용한 HWP 파일이 발견되어 이를 알아보고자 한다. [HWP Document] 한글과컴퓨터의 프로그램인 한글에서 사용하는 파일 형식으로 한글 문서 또는 HWP(Hangul Word Processor)라 불림 [스피어 피싱(Spear Phishing)] 특정인 또는 특정 조직을 대상으로한 맞춤형 공격 공격 대상의 사전조사 내용을 토대로하여 신뢰할 수.. 2019. 9. 19. 류크(Ryuk)와 닮은 악성코드에 포함된 AhnLab 문자열의 의미!! (특정 국가 타겟??) 안랩 ASEC 분석팀은 최근 “AhnLab” 문자열을 포함하는 정보 유출 악성코드가 유포 중인 것을 확인하였다. 해당 악성코드에는 기존 Ryuk 랜섬웨어와 동일한 문자열이 사용되고, 내부 코드 흐름이 유사하여 Ryuk 랜섬웨어와 관련이 있는 것으로 파악된다. 또한 해당 샘플 분석 결과, 특정 국가를 타겟으로 제작된 악성코드로 추정되는 여러 근거가 발견되었다. 지난해 8월에 발견된 Ryuk 랜섬웨어는 파일의 확장자를 “.RYK”로 변경하고 “RyukReadMe.txt” 이름의 랜섬노트를 생성하며 AhnLab폴더를 암호화 대상에서 제외한다. 본 정보 유출 악성코드 또한 파일명 및 폴더명에 AhnLab 문자열이 존재하면 유출 대상에서 제외한다. 악성코드 실행 시 인자로 주어진 문자열 경로의 파일을 삭제한다. .. 2019. 9. 18. 파일리스 형태로 동작하는 WannaMine(SMB 취약점) 최근 들어 코인 마이너의 전파 방식이 점점 다양해지고 있다. 안랩 ASEC 분석팀은 올해 초에 SMB 취약점(MS17-010 이터널블루)을 이용해 전파하는 코인 마이너에 대해 소개한 바 있다. ‘EternalBlue’ SMB 취약점(MS17-010)을 통한 악성코드 감염 확산 (2) 안랩 ASEC은 지난 2월 11일 EternalBlue SMB 취약점으로 국내 POS 장비에 코인 마이너를 전파하는 공격을 확인하였다. 작년 6월에도 같은 이터널 블루 취약점으로 POS 장비의 인터넷이 마비되는 사건(https://asec.. asec.ahnlab.com 근래에는 “WannaMine”이라는 파일리스(Fileless) 코인 마이너 악성코드가 전파를 위해 SMB 취약점뿐만 아니라 WMI(Windows Manage.. 2019. 9. 6. BlueCrab 랜섬웨어를 유포하는 자바스크립트(*.js) 코드 변화 안랩 ASEC 분석팀은 피싱 다운로드 페이지로 유포되는 자바스크립트 형태의 BlueCrab(=Sodinokibi) 랜섬웨어를 지속해서 관찰하고 있다. 해당 악성 자바스크립트는 [그림 1]과 같이 유틸리티 다운로드 페이지로부터 위장된 파일명으로 유포 된다. [ ex) jwplayer 동영상.js ] 최초 유포된 자바스크립트는 [그림 2]와 같이 난독화 되어 있으며, [그림 3]은 난독화 해제된 스크립트이다. 난독화 해제된 스크립트는 랜섬웨어를 실행하는 자바스크립트를 다운로드하여 실행한다. [그림 4]는 난독화 해제된 스크립트로부터 다운로드된 랜섬웨어를 실행하는 자바스크립트이다. 해당 스크립트는 내부 데이터를 디코딩한 파워셀 스크립트를 드롭하여 실행하는 기능을 수행한다. 아래 이전에 분석된 내용과 비교했을 .. 2019. 9. 3. 이전 1 ··· 15 16 17 18 19 20 21 ··· 145 다음
