AgentTesla 악성코드 국내에 어떻게 유포되고 있나? 올해 초부터 피싱 메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 사례가 확인되고 있다. ASEC 분석팀에서는 최근 이러한 공격 방식을 통해 AgentTesla가 최종 실행된 것을 포착하여 이에 대해 알리려한다. 해외에서는 아래 블로그처럼 올 1월 정보유출형 악성코드 azorult가 메일에 첨부된 PPT를 통해 유포되었다. (해외 블로그 : https://appriver.com/resources/blog/january-2020/powerpoint-malware-references-drake-lyrics-drop-lokibot-azorult) 이와 비슷한 유포 방식을 이용하여 7월에는 azorult가 아닌 AgentTesla라는 정보유출형 악성코드가 유포되었다. 이 악성코는 ASEC 분석팀에서.. 2020. 7. 28. '원산지 조사 자율 점검표' 한글(HWP) 악성코드 유포 ASEC 분석팀은 7월 23일 악성 EPS를 포함한 한글 문서가 유포되고 있음을 확인하였다. 문서에 포함된 악성 PS(Post Script)파일의 주요 행위는 7월 15일 아래의 글을 통해 확인한 코로나 예측 결과 위장 엑셀문서와 유사하다. 해당 문서에는 원산지 조사 자율 점검표가 존재하며, 문서 정보로 보아 실제 '국가법령정부센터'에서 제공한 문서를 악의적으로 가공한 것으로 추정된다. 코로나 예측 결과 위장 악성 문서(xls) 유포 중 올해 코로나 관련된 주제의 악성코드가 끊임없이 발견되고 있는 가운데 이번에도 ASEC 분석팀에서는 '코로나 예측 결과'에 대한 내용으로 사용자를 속여 메일과 문서를 열람하도록한 공격을 확�� asec.ahnlab.com 한글문서 첫 페이지 우측 상단에는 아래의 그림과 같.. 2020. 7. 24. 국내 인터넷 커뮤니티 사이트에서 악성코드 유포 (유틸리티 위장) ASEC 분석팀에서는 7월 23일 국내 유명 커뮤니티의 자료실에서 유틸리티 프로그램을 위장한 악성코드가 유포 중인 것을 확인하였다. 공격자는 공식 홈페이지에서 배포 중인 유틸리티의 실행파일에 악성 쉘 코드를 삽입 후 실행 흐름을 변조하는 방법으로 악성코드를 제작하였다. (정상파일의 빈 공간에 악의적 코드 삽입) 이번에 확인된 악성코드의 동작방식은 7월 15일에 '코로나 예측 결과' 위장하여 유포된 엑셀문서 악성코드(https://asec.ahnlab.com/1355) 사례와 유사한 것으로 확인되었다. 자료실의 유틸리티 항목에 다음과 같이 첨부파일을 포함한 게시글을 업로드하였다. 해당 게시글은 특정 유틸리티 프로그램을 소개하는 내용으로 이루어져 있으며 첨부파일 내부에는 악성코드가 존재한다. 첨부파일 내부의.. 2020. 7. 23. 5개월만에 돌아온 Emotet 악성코드!! 국내 유포 중 ASEC 분석팀은 금일 Emotet 악성코드가 국내 유포 중인 것을 확인하였다. 뱅킹 악성코드인 Emotet 은 지난 2월을 마지막으로 유포를 중단하였으나, 5개월이 지난 현재 다시 유포를 시작한 것으로 보여 사용자의 주의가 필요하다. 유포 방식은 이전과 동일하게 피싱 메일을 통해 유포되고 있다. 메일의 유형은 세 가지가 존재하는데, 다운로드 링크가 첨부된 형태와 PDF 파일이 첨부된 형태, 악성 문서 파일을 첨부한 형태로 나뉜다. 첨부된 링크는 접속시 악성 문서 파일을 다운로드하게 된다. 메일에는 DOC 파일 뿐만 아니라, PDF 형태의 파일도 첨부되어 유포되고 있다. PDF 파일에는 아래와 같이 지불과 관련된 내용을 포함하고 있으며 DocuSign 사이트로 위장한 링크가 첨부되어 있다. 하지만 해당 .. 2020. 7. 21. ASEC 주간 악성코드 통계 ( 20200713 ~ 20200719 ) ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 7월 13일 월요일부터 2020년 7월 19일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 48.6%로 1위를 차지하였으며, 그 다음으로는 Coin Miner 악성코드가 18.5%, RAT (Remote Administration Tool) 악성코드가 14.4%를 차지하였다. 뱅킹 악성코드는 7.2%, 다운로더 악성코드는 6.8%를 차지하였으며 랜섬웨어가 1.4%로 그 뒤를 따랐다. Top 1 -Lokibot 이번 주는 Lokibot이 19.4%를 차지하며 1위를 차지했다. 인포스틸러 악성코드로서 대부분의 웹 브라우저,.. 2020. 7. 21. 코로나 예측 결과 위장 악성 문서(xls) 유포 중 올해 코로나 관련된 주제의 악성코드가 끊임없이 발견되고 있는 가운데 이번에도 ASEC 분석팀에서는 '코로나 예측 결과'에 대한 내용으로 사용자를 속여 메일과 문서를 열람하도록한 공격을 확인하였다. 피싱 메일을 통해 유포되었으며 이 메일에는 악성 엑셀 문서가 첨부되어 있다. 첨부된 악성 엑셀 파일은 국가별 코로나 확진자 사망자의 수를 확인 할 수 있는 내용이 포함되어 있으며 특히 누적 확진 사망자의 인원을 확인하길 원하는 사용자는 엑셀 내부에 있는 계산 버튼('Predict')를 선택하기 위해 매크로 활성화 버튼을 선택할 수 밖에 없다. 하지만 해당 누적 계산을 수행하는 정상적인 매크로 코드 하위에는 악성파일을 다운로드하는 난독화 된 코드가 포함되어있다. 이 코드를 복호화 후에 CMD 명령을 확인 할 수 .. 2020. 7. 15. 링크 개체를 이용한 악성 한글문서(HWP) 주의 - 코인업체 사칭 ASEC 분석팀은 지난주 코인업체를 사칭한 악성 한글 문서 파일이 유포됨을 확인하였다. 한글 파일에는 특정 코인 업체의 운영 정책이 변경되어 해당 사항을 확인하도록 하는 내용이 담겨있다. 파일 실행 시 내부에 포함된 OLE 개체(EXE 실행파일)가 %temp%폴더에 생성된다. 파일명이 hanwordupdate.exe로 되어있어 사용자가 한글의 정상 파일로 착각할 수 있어 주의가 필요하다. 파일 내부에는 개체를 실행하기 위해 링크가 포함된 도형이 존재하며, 특정 도형들은 페이지 전부를 덮고 있어 사용자가 어느 곳을 선택하여도 악성 파일의 링크를 실행하게 된다. 아래의 그림에서 빨간색으로 표시된 부분이 링크를 포함하는 도형을 나타낸다. 도형에 삽입된 링크는 "..\appdata\local\temp\hanwo.. 2020. 7. 14. ASEC 주간 악성코드 통계 ( 20200706 ~ 20200712 ) ASEC 분석팀에서는 ASEC 자동 분석 시스템 RAPIT를 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 여기에서는 2020년 7월 6일 월요일부터 2020년 7월 12일 일요일까지 수집된 한 주간의 통계를 정리한다. 대분류 상으로는 인포스틸러 악성코드가 49.5%로 1위를 차지하였으며, 그 다음으로는 RAT (Remote Administration Tool) 악성코드가 15.9%, Coin Miner 악성코드가 13.7%를 차지하였다. 다운로더 악성코드는 7.7%, 뱅킹 악성코드는 6.6%를 차지하였으며 랜섬웨어가 4.4%로 그 뒤를 따랐다. Top 1 - AgentTesla 22.0%를 차지하는 AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정.. 2020. 7. 14. 이전 1 ··· 3 4 5 6 7 8 9 ··· 163 다음
