잉카인터넷 시큐리티대응센터 블로그

악성코드 제작자는 체포되었지만 여전히 유포되는 NanoCore RAT 1. 개요 최근 피싱 메일의 첨부파일을 통해 ‘Nanocore RAT’(원격 관리 툴)이 다수 유포되고있다. 원격 관리 툴은 합법적인 프로그램이지만 공격자에 의해 악용될 수 있는데, ‘NanoCore RAT’의 경우에는 ‘NanoCore RAT’을 만든 제작자가 악의적인 목적으로 ‘NanoCore RAT’을 제작 및 배포하여 징역을 받았다. 하지만 악성코드 제작자가 체포되어도 ‘Nanocore RAT’ 악성코드는 공격자들에 의해 여전히 유포되고 있어 사용자의 주의가 필요하다. 이번 보고서에서는 ‘NanoCore RAT’ 악성코드가 유포된 사례와 악성 동작에 대해 알아본다. 2. 분석 정보 2-1. 유포 사례 ‘NanoCore RAT’은..

비정상적인 로그인 활동 관련 피싱 메일 유포중! 1. 개요 현재 비정상적인 로그인 활동을 알리는 내용으로 피싱 메일의 유포가 지속적으로 이루어지고 있어 사용자의 주의가 필요하다. 피싱 메일의 내용은 바뀌었지만, 피싱 메일에 첨부된 링크를 클릭하면 이전 사례와 동일하게 cPanel(웹 호스팅 업체)의 가짜 webmail 로그인 페이지로 연결되어 사용자의 이메일 로그인 계정정보를 기재하도록 유도하고 있다. 2. 분석 정보 2-1. 유포 경로 이번에 유포 중인 피싱 메일은 사용자의 이메일 계정이 의심스러운 장소에서 로그인 시도가 있었다는 내용이다. 피싱 페이지로 연결되는 링크는 두 개로 늘어났으며 사용자가 링크를 클릭하면 이메일 계정에 로그인하기를 요구하는 내용은 동일하다. 2-2. 실행 과정 사용자가 본인의..

이메일 계정 보안 경고로 위장한 피싱 메일 주의 1. 개요 최근 이메일 계정에 의심스러운 접근을 알리는 보안 경고내용으로 피싱 메일이 유포되고 있다. 피싱 메일에 첨부된 링크를 클릭하면 cPanel(웹 호스팅 업체)의 webmail 로그인 페이지로 위장한 가짜 사이트로 연결되고, webmail 로그인을 위해 암호를 요구한다. 이 밖에도 피싱 사이트의 도메인에는 윈도우 계정 로그인을 모방한 페이지도 확인되기 때문에 유사한 공격에 주의할 필요가 있다. 2. 분석 정보 2-1. 유포 경로 유포된 피싱 메일은 사용자의 이메일 계정에 의심스러운 접근을 알리는 보안 경고 내용과 함께 가짜 로그인 페이지로 연결되는 링크를 클릭하도록 유도한다. 그리고 사용자가 링크를 클릭하면 이메일 계정에 로그인하기를 요구한다. 2-..

사무국을 사칭한 피싱 메일 주의 1. 개요 최근 사무국을 사칭한 피싱 메일이 유포되고 있다. 해당 메일에는 파일을 위장한 링크가 첨부되어 있고, 해당 링크를 클릭하면 변조된 URI를 포함한 Microsoft 로그인 사이트로 접속되며 로그인을 위해 암호를 요구한다. 이 과정에서 ‘OAuth(오픈 인증)’ 이라고 불리는 개념이 적용되어, 간략하게 소개하고자 한다. 2. 분석 정보 2-1. 유포 경로 해당 메일은 마치 사무국을 사칭하여 기밀문서를 첨부한 것으로 보인다. 파일로 보이는 부분을 클릭하면 유포자가 의도한 사이트로 연결되는 링크이다. 이와 유사한 방식의 메일이 다수 유포 되고 있다. 2-2. 실행 과정 사용자가 첨부되어 있는 링크를 클릭하면, 변조된 URI를 포함한 MS 로그인 사이트에 접속하게 된다..

진화하는 Ammyy RAT 주의 1. 개요 피싱 메일을 통한 APT 공격은 2018년부터 급격하게 상승세를 보이고 있다. 대다수의 APT 공격에 사용되는 악성코드는 랜섬웨어가 상위권을 차지하였지만, 최근에는 랜섬웨어가 아닌 RAT (Remote Access Trojan) 를 유포하여 공격하는 방식이 증가하여 사용자들의 주의가 요구 된다. 잉카인터넷에서는 해당 RAT 에 대한 분석 정보를 두 차례 게시하였다. “송장(Invoice)을 위장한 엑셀파일 주의” - https://isarc.tachyonlab.com/2328 “국내 기업 표적으로 계속되는 Ammyy RAT 유포 메일 주의” - https://isarc.tachyonlab.com/2351 이번 보고서에서는 계속해서 유포 방식이 변화하는 ‘Ammy..

이미지 파일에 숨겨진 Remcos RAT 악성코드 분석 보고서 1. 개요 ‘Remcos RAT’은 과거부터 현재까지 악성 메일의 첨부파일을 통해 꾸준히 유포되고 있는 악성코드 중 하나이다. 본래의 Remcos 자체는 해외 보안 업체에서 합법적으로 윈도우를 관리하기 위해 개발된 프로그램이지만, 공격자들의 원격 접근 툴(RAT)로 악용되고 있다. 악용된 ‘Remcos RAT’은 사용자의 시스템을 장악하고 정보를 탈취할 수 있으며 원격 명령 수행, 키로거, 화면 캡처, 파일 다운로드, 웹 브라우저 로그인 정보 저장 등의 다양한 기능을 갖고 있다. 이번 보고서에서는 Remcos RAT의 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 Rokko 新订单请求,pdf.exe ..

신용카드 결제 영수증으로 위장한 피싱 공격 주의 1. 개요 최근 신용카드 결제 영수증으로 위장한 피싱 메일이 유포되고 있어 주의가 필요하다. 해당 이메일은 외국어를 번역한 듯한 부자연스러운 한국어로 작성되어 있으며, 특정 링크를 클릭하도록 유도하는 내용을 담고 있다. 현재는 링크가 끊어져 작동하지 않지만 VirusTotal 에 게재된 정보에 따르면 최근 유사한 URL 을 다수 생성한 것으로 추정되므로 추가 공격에 주의할 필요가 있다. 2. 분석 정보 2-1. 유포 경로 해당 피싱 메일은 외국어를 번역한 듯한 어수룩한 한국어로 작성되었다. 피싱 메일은 특정 링크를 따라 들어가 비밀번호를 사용하도록 유도하는 내용을 담고 있다. 2-2. 실행 과정 현재는 링크가 끊어져 있으나, VirusTotal에서 검색되는..

국내 기업 표적으로 계속되는 Ammyy RAT 유포 메일 주의 1. 개요 이전부터 국내 기업을 표적으로 Ammyy RAT 을 다운로드하는 악성 메일이 유포되어 왔다. 최근에는 단순히 기존 방식대로 유포할 뿐만 아니라 악성 파일의 포맷을 바꾸고 악성 코드를 숨기는 등, 다양한 방법으로 백신의 탐지를 우회하는 시도를 하고 있다. Ammyy RAT 에 감염되면 정보 탈취, 랜섬웨어 설치와 같은 추가 공격이 이어질 수 있기 때문에 주의가 필요하다. 이번 보고서에서는 Ammyy RAT 유포 메일의 변화 과정과 악성 동작에 대해 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 C739054.xls 파일크키 167,628 bytes 진단명 Suspicious/X97M.Downloader.Gen..

송장(Invoice)을 위장한 엑셀파일 주의 1. 개요 최근 국내 기업을 대상으로 악성 파일이 첨부된 메일이 유포되고 있다. 해당 메일에는 송장(invoice)을 위장한 엑셀 파일이 첨부되어 있고, 해당 엑셀 파일의 매크로를 통해 백도어 기능을 하는 악성파일을 다운받아 사용자 PC에 설치한다. 이와 유사한 방식의 첨부파일을 포함한 형태의 메일이 꾸준히 유포되고 있어 사용자들의 주의를 요한다. 이번 보고서에는 최근에 발견 된 송장(Invoice)을 위장한 엑셀 파일에 대해서 알아보고자 한다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 L680273.xls 파일크키 216,064 byte 진단명 Suspicious/X97M.Obfus.Gen.1 악성동작 매크로 실행을 통한 악성파일 다운 구분 내용..

다수의 정보 탈취 악성 파일 다운로드하는 Scranos 루트킷 감염 주의 1. 개요 최근 Youtube, Facebook, 등 인기 사이트와 관련된 개인 정보를 탈취하는 Scranos 루트킷이 전파되고 있다. 이뿐만 아니라 해외 보안 업체 Bitdefender 에 따르면 추가 기능을 보유한 변종이 발견되고 있으며, 실행 이후에는 다수의 추가 악성 페이로드를 다운로드한다고 알려져 있다. 또한 Scranos는 시스템의 Shutdown 명령 발생 시 자기 자신을 다시 생성하고, 시스템 날짜를 기반으로 일정 주기마다 C&C 서버 주소를 바꾸기 때문에 주의가 필요하다. 2. 분석 정보 2-1. 파일 정보 구분 내용 파일명 [임의의 파일명].sys 파일크키 621,928 bytes 진단명 Trojan-Downloa..