backdoor11 Lazarus 그룹의 방위산업체 대상 공격 증가 Lazarus 그룹의 방위산업체 대상 공격이 지난달부터 증가하고 있다. 공격은 Microsoft Office Word 프로그램의 Office Open XML 타입의 워드 문서 파일을 이용하였다. (샘플 출처: 해외 트위터) Senior_Design_Engineer.docx - 영국 BAE 시스템즈 (5월 접수) Boeing_DSS_SE.docx - 미국 Boeing (5월 접수) US-ROK Relations and Diplomatic Security.docx - 국내 ROK (4월 접수) 문서 파일은 공통으로 외부 External 주소에 접속하여 추가 문서 파일(*.dotm, Word Macro-Enabled Template)을 다운받는다. 다운된 추가 문서 파일은 특정 패턴의 VBA 매크로 코드로 악.. 2020. 5. 8. 신천지 비상연락처 위장한 Bisonal 악성코드 유포 중 (2020.03.05) ASEC분석팀은 현재 우리나라에서 이슈가 되고있는 신천지 관련 악성코드가 유포된 것을 확인하였다. 유포 파일명은 xlsx 엑셀 또는 ppt 파워포인트 문서 파일로 보이지만, 유니코드 RLO(Right to Left Override) 방식을 이용하여 파일 확장자를 다른 형태로 보이도록 하였다. 실제 악성 파일은 *.scr 파일이다. 유니코드 RLO 변조 유포 악성 파일 신천지예수교회비상연락처(1).Rcs.xlsx 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직RCS.ppt - 신천지예수교회비상연락처(1).xlsx - 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직.ppt 분석 내용은 엑셀 파일을 기준으로 작성한다. 파일 실행 시 위와 같이 정상 엑셀파일을 함께 실행하여 사용자 .. 2020. 3. 5. 국방표준종합정보시스템 VPN 사용자를 겨냥한 악성코드 CHM 이번에 발견된 악성코드는 아래 [그림1]에서 보이는 것처럼, 국방표준종합정보시스템 VPN 사용자를 대상으로 유포된 것으로 추정된다. 이 악성코드는 Help 파일로 위장했으며, 위장한 CHM 파일에는 [표 1]과 같은 파일들이 포함되어있다. /index.htm - 악성 파일을 로드 /제목 없음.jpg - 사용자를 속이기 위한 그림 파일 /msupdate.exe - 악성 파일 [표 1] CHM에 포함되어 있는 파일들 악성코드에 포함되어 있는 '제목 없음.jpg'의 내용은 아래와 같다. [그림 1] CHM 실행 화면 (제목 없음. JPG) 처음 CHM 파일을 실행하면 [그림 2]와 같은 형식의 index.htm을 실행하게 되는데 이때 msupdate.exe가 실행된다. [그림 2] object 태그를 이용하여.. 2014. 11. 6. The “Kimsuky” Operation로 명명된 한국을 대상으로 한 APT 공격 2013년 9월 12일 새벽 러시아 보안 업체인 캐스퍼스키(Kaspersky)에서는 해당 업체 블로그 "The “Kimsuky” Operation: A North Korean APT?"를 통해 한국을 대상으로 한 고도의 APT(Advanced Persistent Threat) 공격이 발견되었음을 공개하였다. 해당 블로그에서는 총 31개의 악성코드 MD5 해쉬(Hash) 값을 공개하였으며, 공격자는 불가리아의 무료 이메일 서버스인 mail.bg 를 이용해 감염된 시스템에서 탈취한 데이터를 보관하고 있다고 밝히고 있다. ASEC에서는 해당 블로그에서 공개한 총 31개의 악성코드에 대해 2013년 6월부터 발견되고 있음을 파악하고 다양한 방안으로 대응을 진행 중에 있다. 아래 그래프는 이번에 캐스퍼스키에서 명.. 2013. 9. 12. 국방 관련 내용을 담은 취약한 한글 파일 발견 2012년 하반기로 접어들면서 국내 관공서에서 사용 빈도가 높은 한글 소프트웨어의 취약점을 악용하여 악성코드 감염을 시도하는 사레가 지속적으로 발견되고 있다. 특히 2012년 6월과 10월에는 한글 소프트웨어에 존재하는 알려지지 않은 제로 데이(Zero-Day, 0-Day) 취약점을 악용하는 사례들도 발견되었다. 10월 15일과 16일 다시 국내에서 국방 관련 내용을 가지고 있는 취약한 한글 파일들이 발견되었으며, 이 번에 발견된 취약한 한글 파일은 총 2개로 "군환경교육계획(2012).hwp (1,044,996 바이트)"와 "우리도 항공모함을 갖자.hwp (240,285 바이트)"의 파일명으로 유포되었다. 취약한 한글 소프트웨어를 사용하는 시스템에서 해당 취약한 한글 파일들을 열게 될 경우에는, 아래 .. 2012. 10. 19. 전자 문서들의 취약점을 악용하는 악성코드들 다수 발견 추석 연휴가 끝난 이후 ASEC에서는 최근 다양한 형태의 전자 문서들에 존재하는 취약점을 악용하는 악성코드들을 발견하였다. 전자 문서와 관련된 악성코드들이 발견되는 것이 이 번이 처음 발생한 사항이 아니지만, 마이크로소프트 워드(Microsoft Word), 한글 소프트웨어 그리고 어도비 리더(Adobe Reader) 파일인 PDF에 존재하는 알려진 취약점 등을 악용하는 악성코드가 동시 다발적으로 발견된 것은 특이 사항으로 볼 수 있다. 먼저 한글 소프트웨어와 관련된 악성코드는 크게 3가지 형태로 기존에 알려진 취약점을 악용하는 형태, 특이하게 내부에 악의적인 목적으로 제작된 자바 스크립트(Java Script)가 포함된 형태 그리고 한글 문서 자체가 특이한 OLE 포맷을 가지고 있는 형태가 발견되었다... 2012. 10. 9. 고도의 사회 공학 기법이 포함된 취약한 한글 파일들 ASEC에서는 한글과 컴퓨터에서 개발하는 알려진 코드 실행 취약점을 악용하는 취약한 한글 파일을 악용한 악성코드가 발견되었다는 것을 9월 4일 공개하였다. 9월 4일 취약한 한글 파일에 대해 공개한 이 후인 9월 5일과 9월 6일 오전 기존에 알려진 취약점을 악용하는 취약한 한글과 파일들과 악성코드들이 다시 발견되었다. 9월 5일 발견된 취약한 한글 파일은 아래 이미지와 동일하게 최근 언론을 통해 이슈가 되고 있는 독도 관련 내용을 담고 있으며, 문서 역시 독도 일본땅`日,자신만만증거보니…황당.hwp (447,504 바이트)라는 파일명을 가지고 있다. 해당 취약한 한글 파일은 HncApp.dll에 존재하는 문단 정보를 파싱하는 과정에서 발생하는 버퍼 오버플로우(Buffer Overflow)로 인한 코드 .. 2012. 9. 6. 다시 발견된 한글 취약점을 악용한 취약한 한글 파일 ASEC에서는 그 동안 지속적으로 발견되고 있는 한글 소프트웨어에 존재하는 취약점을 악용한 악성코드 감염 사례들 다수를 언급하였다. 6월 15일 - 한글 제로데이 취약점을 악용한 악성코드 유포 6월 26일 - 알려진 한글 취약점을 악용한 악성코드 유포 7월 5일 - 지속적으로 발견되는 취약한 한글 파일 유포 7월 25 - 한글 취약점을 악용한 취약한 한글 파일 추가 발견 2012년 8월 13일, 어제 다시 기존에 알려진 한글 취약점을 악용하는 취약한 한글 파일이 발견되었으며, 해당 취약한 한글 파일을 열게 되면 다음과 같은 내용이 나타나게 된다. 해당 취약한 한글 파일은 아래 이미지와 동일한 구조를 가지고 있으며 새로운 제로 데이(Zero Day, 0-Day) 취약점이 아니다. 해당 취약점은 HncTex.. 2012. 8. 14. 이전 1 2 다음
