본문 바로가기

코로나7

'원산지 조사 자율 점검표' 한글(HWP) 악성코드 유포 ASEC 분석팀은 7월 23일 악성 EPS를 포함한 한글 문서가 유포되고 있음을 확인하였다. 문서에 포함된 악성 PS(Post Script)파일의 주요 행위는 7월 15일 아래의 글을 통해 확인한 코로나 예측 결과 위장 엑셀문서와 유사하다. 해당 문서에는 원산지 조사 자율 점검표가 존재하며, 문서 정보로 보아 실제 '국가법령정부센터'에서 제공한 문서를 악의적으로 가공한 것으로 추정된다. 코로나 예측 결과 위장 악성 문서(xls) 유포 중 올해 코로나 관련된 주제의 악성코드가 끊임없이 발견되고 있는 가운데 이번에도 ASEC 분석팀에서는 '코로나 예측 결과'에 대한 내용으로 사용자를 속여 메일과 문서를 열람하도록한 공격을 확�� asec.ahnlab.com 한글문서 첫 페이지 우측 상단에는 아래의 그림과 같.. 2020. 7. 24.

코로나 문구가 포함된 랜섬웨어 국내발견 (.corona-lock 확장자) ASEC 분석팀은 5월22일 BlueCrab, Nemty 등과 동일한 외형 정보로 국내 유포되는 신규 랜섬웨어를 발견하였다. 해당 랜섬웨어는 암호화시 원본 확장자 이름에 코로나 문구를 포함한 “.corona-lock” 확장자로 변경하며 백업과 관련된 파일들을 삭제하여 복구가 불가능하게 한다. 랜섬노트는 바탕화면에 생성되며 아래와 같이 암호화된 파일 목록이 포함되어 있다. 해당 랜섬웨어는 암호화전 프로세스 및 서비스 목록을 검사하여 존재할 경우 종료 혹은 멈추는 행위를 수행한다. 프로세스 종료 및 서비스 종료 목록 프로세스 종료 대상 wxServer.exe wxServerView sqlservr.exe sqlmangr.exe RAgui.exe supervise.exe Culture.exe RTVscan.e.. 2020. 5. 22.

'코로나바이러스 대응 긴급조회' 한글문서 악성코드 유포 ASEC분석팀은 '코로나바이러스 대응 긴급조회'로 위장한 악성 문서파일을 발견하였다. 과거 악성 문서파일들의 경우 Office 의 매크로 기능을 악용하여 사용자에게 콘텐츠 사용을 유도하는 방식을 주로 이용하였다. 그러나 이와 달리 4월 1일 발견된 문서 파일은 한글 파일을 사용하며, 전라남도 감염병관리지원단 을 사칭한 파일로 주의가 필요하다. 이 뿐만 아니라 인천광역시 감염병관리지원단을 사칭한 파일도 발견되고 있다. 이처럼 악성코드 제작자는 다양한 기관들을 사칭하고 있다. 한글 파일은 EPS(EncapEncapsulated Postscript) 파일을 포함하고 있으며 powershell.exe을 이용해 외부 URL 접속하여 추가 악성코드를 다운로드 한다. 다운로드된 파일은 정보탈취와 백도어의 기능을 가지.. 2020. 4. 2.

CoronaVirus 랜섬웨어에 의한 윈도우 복구 무력화 ASEC 분석팀은 감염 시, CoronaVirus.txt 이름의 랜섬노트를 생성하는 랜섬웨어가 국내에 유포 중인 것을 확인하였다. 아래의 그림에서 알 수 있듯이 암호화된 사용자의 파일의 복구를 댓가로 비트코인 지불(0.008 btc: 50$)을 요구한다. 지불을 위한 제작자와의 통신은 이메일을 통해 이루어지며, coronaVi2022@protonmail.ch 로 확인되었다. 랜섬노트 마지막의 "desine sperare qui hic intras"는 라틴어로 "여기에서 우리는 희망을 포기"라는 의미이다. 해당 랜섬웨어 실행 시, 분석팀 자동분석 시스템 RAPIT에서는 아래와 같이 프로세스 실행 흐름을 보여준다. 암호화 시 아래와 같이 원본 파일이름이 변경됨을 알 수 있다. (파란색이 원본 파일이름) C:.. 2020. 3. 25.

[주의] 코로나 바이러스와 연관된 악성코드 다수 유포 ASEC 분석팀은 세계적으로 이슈인 코로나 바이러스와 연관된 악성 코드들이 유포되고 있는 것을 확인하였다. 문서 내용이나 파일 이름 등이 코로나 바이러스와 관련되어 있으며, 2월말부터 현재까지 다양한 형태로 꾸준히 유포되고 있다. 초기 유포되던 악성코드는 테스트용이나 조크성 파일 등으로 유포된 반면, 최근에는 백도어, 다운로더 등 다양한 유형의 악성코드로 유포되고 있어 사용자의 큰 주의가 필요하다. 2020/02/25 [주의] 코로나 바이러스를 이용한 다양한 형태의 악성코드 유포 [주의] 코로나 바이러스를 이용한 다양한 형태의 악성코드 유포 전 세계적으로 이슈인 코로나 바이러스를 이용한 악성코드들이 다수 발견되고 있다. 테스트 파일, JOKE 파일, 실제 악성 파일까지 다양하게 존재하며 현재 코로나 바이.. 2020. 3. 24.

신천지 비상연락처 위장한 Bisonal 악성코드 유포 중 (2020.03.05) ASEC분석팀은 현재 우리나라에서 이슈가 되고있는 신천지 관련 악성코드가 유포된 것을 확인하였다. 유포 파일명은 xlsx 엑셀 또는 ppt 파워포인트 문서 파일로 보이지만, 유니코드 RLO(Right to Left Override) 방식을 이용하여 파일 확장자를 다른 형태로 보이도록 하였다. 실제 악성 파일은 *.scr 파일이다. 유니코드 RLO 변조 유포 악성 파일 신천지예수교회비상연락처(1).Rcs.xlsx 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직RCS.ppt - 신천지예수교회비상연락처(1).xlsx - 신천지예수교 증거장막성전 총회본부 홍보부 언론홍보과 보좌 조직.ppt 분석 내용은 엑셀 파일을 기준으로 작성한다. 파일 실행 시 위와 같이 정상 엑셀파일을 함께 실행하여 사용자 .. 2020. 3. 5.

주의! 실시간 코로나19 현황 프로그램을 위장한 악성코드 유포 ASEC 분석팀은 국내와 일본 사용자를 대상으로 코로나 바이러스와 관련된 악성코드가 유포되고 있는 것을 확인하였다. 해당 악성코드는 코로나19 현황을 나타내는 팝업창을 생성하고 Temp 경로에 악성 파일을 드롭 후 실행한다. 이때 사용자 몰래 악성 파일이 생성되기 때문에 팝업창만 확인시 마치 정상 코로나 현황 프로그램으로 착각할 수 있어 사용자의 주의가 필요하다. 유포중인 파일은 아래와 같은 데이터를 디코딩 후, 특정 프로세스에 디코딩된 데이터를 인젝션(injection) 한다. 인젝션(injection) 된 데이터는 Temp 경로에 “국내 코로나 실시간 현황.exe”(정상) 와 “jjutest1.exe”(악성) 명으로 파일을 드롭 후 실행한다. “국내 코로나 실시간 현황.exe” 파일은 아래와 같이 코.. 2020. 2. 26.

이전 1 다음

티스토리툴바