분석 정보/악성코드 분석 정보396 러시아를 표적으로 하는 Konni RAT 악성코드 변종 등장 "Konni RAT"은 2014년에 처음으로 등장하여 2017년 7월경, 북한 정부가 미사일 시험 발사 이후 "Konni RAT" 악성코드 공격을 받은 사례가 있다. 최근 해당 악성코드의 변종이 러시아를 공격 타겟으로 하여 매크로가 적용된 문서 파일이 유포되고 있다. 또한, 현재 러시아 외에도 한국, 일본, 네팔, 몽골, 베트남 등에서 피해사례가 등장하고 있어 주의해야 한다. "Konni RAT"은 백신 프로그램 탐지 우회하기 위한 기법들이 적용되었으며 문서 파일에 JS 파일 및 Powershell 실행 파일을 숨겨두어 실행되도록 했다. 최종적으로 서비스에서 실행되는 페이로드는 사용자 PC의 정보를 탈취하고, 공격자의 서버에서 명령을 받아 원격으로 제어한다. 1. 파일 드랍 (문서 파일) 이전에 유포된 .. 2021. 9. 2. 인사 담당자로 위장해 이스라엘 업체를 공격한 이란 APT 그룹 최근 이스라엘 업체를 대상으로 진행된 APT 공격이 발견됐다. 이번 공격에는 "Shark"라고 불리는 백도어 악성코드가 사용됐으며, 5월에 발견된 "Milan" 악성코드의 변종으로 알려졌다. 이번 캠페인을 진행한 APT 그룹은 특정 업체의 인사담당자를 사칭한 가짜 링크드인(LinkedIn) 프로필을 생성해 해당 프로필을 열람한 사용자들이 악의적으로 조작된 웹사이트로 접속하도록 유도했다. 이들이 위장한 사이트는 독일 소프트웨어 업체인 Software AG와 이스라엘 IT 업체 ChipPC로 사용자가 사이트에 접속해 다운로드 버튼을 클릭할 경우 악성 문서를 다운로드한다. 사진 출처 : clearskysec 다운로드 받은 악성 문서를 실행하면 [그림 1]과 같이 문서 내용이 나타나며, 지정된 경로에 “Mila.. 2021. 8. 26. 가짜 은행 프로그램을 통해 유포된 Warsan RAT 악성코드 은행 업데이트 프로그램으로 위장한 악성코드 유포 사례가 발견되었다. 공격자는 "Warsaw" 악성코드를 가짜 은행 업데이트 프로그램으로 위장하여 유포하였다. 사용자가 "Warsaw" 악성코드를 정상 프로그램으로 착각하여 실행한다면, 공격자의 서버로 연결하여 "Warsan RAT" 악성코드를 추가 다운로드하여 실행한다. "Warsan RAT" 악성코드는 공개된 소스코드에 Telegram 통신, 자동 실행 등의 기능을 추가한 것으로 알려졌으며, 공격자의 명령을 전달받아 추가 악성행위를 수행한다. Warsaw 악성코드 "Warsaw" 는 다운로더 악성코드로 은행 업데이트 프로그램으로 위장하여 유포되었다. 사용자가 업데이트 프로그램으로 착각하고 실행하면 ‘보안을 강화하기 위해 모듈을 업데이트 하라’ 라는 내용의.. 2021. 8. 19. 이란의 철도 시스템을 공격한 와이퍼 악성코드 Meteor 와이퍼 악성코드란 감염된 컴퓨터의 하드 드라이브를 사용자가 사용할 수 없도록 의도된 악성코드이다. 와이퍼 악성코드는 금전이나 데이터 탈취의 목적이 아닌 주로 사용자가 PC를 이용할 수 없게 하고, 시스템을 복원할 수 없게 만드는 목적으로 유포된다. 최근 도쿄 올림픽 이슈를 악용하거나 새롭게 등장한 이란 해커 그룹이 이스라엘 정부를 목표로 와이퍼 악성코드를 유포한 사례들이 있었다. 아래의 링크는 자사 블로그에 게시된 "도쿄 올림픽 이슈를 악용한 와이퍼 악성코드 공격"에 대한 보고서이다. 2021.07.28 - [분석 정보/악성코드 분석 정보] - 도쿄 올림픽 이슈를 악용한 와이퍼 악성코드 또한, 2021년 7월 9일, 이란의 열차 시스템이 Meteor 와이퍼 악성코드 공격을 받았다. 이번 공격으로 인해 한.. 2021. 8. 10. 조지아 정부 기관으로 공격 대상을 확대한 스피어 피싱 캠페인 최근 COVID-19 이슈 또는 정부 관련 주제를 악용한 스피어 피싱 캠페인이 발견됐다. 해당 캠페인은 주로 메일을 이용해 사용자에게 악성코드를 유포하며, 해당 악성코드에 감염될 경우 사용자 PC의 파일을 공격자에게 전송한다. 또한, 우크라이나 정부 기관에서 조지아로 공격 대상을 확대한 정황도 발견됐다. 스피어 피싱 캠페인 유포 사례 2021년 5월에 우크라이나 정부 기관을 대상으로 진행된 공격에서는 [그림 1]의 방식으로 진행됐다. 1. 피싱 메일 본문에 삽입된 링크에서 파일을 다운로드 한다. 2. 다운로드한 압축 파일 내부의 RTF 문서 파일을 실행한다. 3. 문서 파일 내부의 매크로가 실행돼 정보 탈취를 위한 악성코드를 다운로드 및 실행한다. 6월부터는 조지아 정부를 대상으로 공격 범위를 확대했으며.. 2021. 8. 9. 지속적으로 유포되고 있는 NetWire 악성코드 "NetWire"은 백도어 악성코드로 2012년 등장한 이후 현재까지 지속적으로 유포되고 있다. 올해 발견된 유포 사례를 살펴보면 공격자는 "NetWire" 악성코드를 실행 할 수 있는 악성 파일을 제작하고, 정상 파일인 것처럼 위장하여 피싱 메일로 전달한 것으로 알려졌다. 유포된 악성 파일은 유포 시기에 따라 차이를 보이며 3월에는 악성 매크로가 삽입된 워드 문서, 6월에는 악성 스크립트가 삽입된 소프트웨어 설치 파일이 발견되었다. 만약 사용자가 첨부된 파일을 정상 파일로 착각하여 실행한다면, 첨부 파일에 삽입된 매크로 혹은 스크립트를 통해 “NetWire" 악성코드가 실행되어 파일을 조작하거나 사용자의 다양한 정보를 탈취한다. 악성 스크립트가 삽입된 가짜 소프트웨어 설치 파일 2021년 3월, 공격자.. 2021. 7. 30. 이전 1 ··· 11 12 13 14 15 16 17 ··· 66 다음
