본문 바로가기

ASEC58

악성코드 감염으로 알려진 일본 재무성 침해 사고 2012년 7월 21일 일본 국내 언론들을 통해 "Finance Ministry reveals 2010-2011 computer virus; info leak feared" 일본 재무성에서 2010년에서 2011년 2년 사이에 감염된 악성코드가 발견되었으며, 이로 인해 내부 정보가 유출 되었을 것으로 추정된다는 기사가 공개 되었다. ASEC에서는 해당 침해 사고와 관련한 추가적인 정보와 관련 악성코드를 확인하는 과정에서 해당 침해 사고와 관련된 악성코드를 확보하게 되었으며, 해당 악성코드는 약 1년 전인 2011년 9월 경에 발견된 것으로 파악하고 있다. 이번에 파악된 악성코드가 실행되면 해당 파일이 실행된 동일한 경로에 다음 파일을 생성하고, 정상 시스템 프로세스인 explorer.exe에 스레드로 인.. 2012. 8. 21.
사우디아라비아 정유 업체를 공격한 Disttrack 악성코드 8월 17일 ASEC에서는 8월 15일 공개된 외국 언론 "Saudi Aramco says virus shuts down its computer network"을 통해 사우디 아라비아의 정유 업체인 Saudi Aramco에 특정 악성코드에 의한 피해가 발생하였다는 것을 확인 하였다. 추가적으로 ASEC에서 관련 보안 위협에 대한 정보들을 확인하는 과정에서 시만텍(Symantec)에서 "The Shamoon Attacks"로 명명한 보안 위협과 관련되었음을 파악하였다. Shamoon 보안 위협과 관련된 악성코드는 Disttrack로 명명되었으며, 크게 3가지 기능을 가진 악성코드들이 모듈 형태로 동작하도록 설계되어 있다. 드로퍼(Dropper) - 다른 기능들을 수행하는 악성코드들을 생성하는 메인 악성코드.. 2012. 8. 20.
YSZZ 스크립트 악성코드의 지속 발견 ASEC에서는 중국에서 제작되는 것으로 추정되는 GongDa Pack으로 명명된 스크립트 형태의 악성코드가 지속적으로 발견되고 있다는 것을 공개한 바가 있다. 7월 30일 - GongDa Pack의 스크립트 악성코드 증가 최근들어 GongDa Pack으로 명명된 스크립트 악성코드 이외에 YSZZ로 명명된 스크립트 악성코드가 버전을 계속 변경하면서 유포되고 있는 것이 발견되었다. 7월 3일 발견된 스크립트 악성코드의 경우는 아래 이미지처럼 상반기부터 발견되기 시작한 다른 YSZZ 스크립트 악성코드 변형들과 동일하게 0.3 버전의 스크립트 였다. 그러나 8월 3일 발견된 YSZZ 스크립트 악성코드는 아래 이미지와 같이 0.8 VIP 버전으로 업데이트된 버전의 스크립트 였다. 8월 11일 주말에 발견된 YSZ.. 2012. 8. 14.
다시 발견된 한글 취약점을 악용한 취약한 한글 파일 ASEC에서는 그 동안 지속적으로 발견되고 있는 한글 소프트웨어에 존재하는 취약점을 악용한 악성코드 감염 사례들 다수를 언급하였다. 6월 15일 - 한글 제로데이 취약점을 악용한 악성코드 유포 6월 26일 - 알려진 한글 취약점을 악용한 악성코드 유포 7월 5일 - 지속적으로 발견되는 취약한 한글 파일 유포 7월 25 - 한글 취약점을 악용한 취약한 한글 파일 추가 발견 2012년 8월 13일, 어제 다시 기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일이 발견되었으며, 해당 취약한 한글 파일을 열게 되면 다음과 같은 내용이 나타나게 된다. 해당 취약한 한글 파일은 아래 이미지와 동일한 구조를 가지고 있으며 새로운 제로 데이(Zero Day, 0-Day) 취약점이 아니다. 해당 취약점은 HncTex.. 2012. 8. 14.
SMS를 유출하는 ZitMo 안드로이드 악성코드 변형 발견 금융 정보를 탈취를 목적으로하는 악성코드들은 PC와 안드로이드(Android)까지 다양한 운영체제와 디바이스들을 대상으로 그 범위를 확장해가고 있으며, 최근에는 안드로이드 모바일 운영체제를 대상으로 감염 후 개인 금융 정보 탈취를 목적으로하는 안드로이드 악성코드들이 지속적으로 발견되고 있다. ASEC에서는 6월에도 이러한 형태의 안드로이드 악성코드인 ZitMo(Zeus in the Mobile)라는 안드로이드 악성코드가 발견되었음을 공개한 바가 있다. 2012년 6월 - Zitmo 변형으로 알려진 안드로이드 악성코드 현지 시각으로 2012년 8월 7일 해외 보안 업체인 캐스퍼스키(Kaspersky)에서는 블로그 "New ZitMo for Android and Blackberry"를 통해 새로운 ZitMo.. 2012. 8. 10.
ASEC 보안 위협 동향 리포트 2012 Vol.30 발간 안랩 ASEC에서 2012년 6월 국내,외에서 발생한 다양한 보안 위협 이슈와 동향들을 정리한 ASEC 리포트 2012 Vol.30을 발간하였다. 이 번에 발간된 ASEC 리포트는 2012년 6월 주요 보안 위협 이슈들을 다음과 같이 분석하고 있다. 1) 악성코드 이슈악성코드, 당신의 계좌를 노린다이메일로 시도되는 APT 공격 주의문서 파일을 이용한 끊임없는 악성코드 유포아래아한글 제로데이 취약점을 악용한 악성코드 - 1아래아한글 제로데이 취약점을 악용한 악성코드 - 2알려진 한글 취약점을 악용한 악성코드 유포안랩 사칭한 광고 스팸 메일 주의정부 기관에서 발송된 메일로 위장한 스팸 메일FedEx Post Office 메일로 위장한 악성 스팸 메일변형된 형태의 XML 코어 서비스 취약점 (CVE-2012-.. 2012. 8. 6.
GongDa Pack의 스크립트 악성코드 증가 ASEC에서는 2012년 5월 월간 "안"을 통해 공다 팩(GongDa Pack)으로 명명된 중국에서 제작된 웹 익스플로잇 툴 킷(Web Exploit Toolkit)에 대한 상세한 분석 정보에 대해 공개한 사례가 있다. 2012-05-08 'GongDa'의 무차별 웹 공격이 시작됐다 공다 팩이라는 해당 웹 익스플로잇 툴킷의 스크립트 악성코드는 다양한 일반 어플리케이션들의 취약점을 악용하여 온라인 게임 관련 개인 정보들을 탈취하는 악성코드 유포를 목적으로 하고 있었다. 이러한 공다 팩에서 사용되는 스크립트 악성코드가 최근 몇 주 사이 지속적으로 발견되고 있으며, 업데이트 된 공다 팩 변형에 의해 유포되는 것으로 확인되었다. 최초 2012년 5월에 발견된 공다 팩에서 사용되는 스크립트 악성코드는 버전이 ".. 2012. 7. 30.
한글 취약점을 악용한 취약한 한글 파일 추가 발견 ASEC에서는 그 동안 지속적으로 발견되고 있는 한글 소프트웨어에 존재하는 취약점을 악용한 악성코드 감염 사례들 다수를 언급하였다. 6월 15일 - 한글 제로데이 취약점을 악용한 악성코드 유포 6월 26일 - 알려진 한글 취약점을 악용한 악성코드 유포 7월 5일 - 지속적으로 발견되는 취약한 한글 파일 유포 이러한 한글 소프트웨어 존재하는 취약점을 악용한 취약한 한글 파일이 7월 24일 다시 발견되었으며, 이 번에 발견된 취약한 한글 파일은 아래 이미지와 동일한 내용을 가지고 있다. 해당 취약한 한글 파일은 아래 이미지와 동일한 구조를 가지고 있으며 새로운 제로 데이(Zero Day, 0-Day) 취약점이 아니다. 해당 취약점은 HncTextArt_hplg에 존재하는 스택(Stack)의 경계를 체크하지 .. 2012. 7. 25.