안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2023년 8월 공개된 WinRAR 취약점(CVE-2023-38831)을 악용한 공격 사례가 증가하고 있습니다. 이 취약점은 RARLAB의 파일 압축 소프트웨어인 WinRAR 6.22 이하 버전에서 임의의 코드를 실행할 수 있는 보안 취약점입니다. 북한의 해킹그룹 APT37과 코니(Konni), 우크라이나를 표적으로 삼는 해킹 조직 GhostWriter 등은 2023년 하반기, WinRAR 취약점 CVE-2023-38831을 활용하여 APT 공격을 감행한 것으로 확인되었습니다. CVE-2023-38831 취약점은 CVSS 점수 7.8로 취약점으로 평가되며, 2023년 8월 2일자 패치를 통해 해결되었습니다. 그러나 PoC 익스플로잇 코드가..

악성코드 분석 리포트 2024. 1. 26. 13:32

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. Stealc 악성코드는 이름에서 알 수 있듯이 인포스틸러(Infostealer) 악성코드로 2023년 상반기 처음으로 등장했습니다. 하지만 Vidar, Raccoon, Redline 악성코드와 같은 방식으로 추가 악성 행위를 위해 필요한 추가 라이브러리 파일을 다운로드 받아 사용하고 있습니다. Stealc는 시스템 정보, Outlook, 특정 브라우저, 메신저 프로그램 등 데이터를 수집하여 탈취하는 기능을 가지고 있으며, 수집된 정보를 탈취한 후 악성 파일과 추가 라이브러리 파일을 삭제하여 흔적을 지웁니다. Stealc 악성코드는 브라우저, 디스코드, 텔레그램, 메일 등에서 사용자 정보를 탈취할 수 있습니다. 또한, 문자열 난독화, Ant..

악성코드 분석 리포트 2023. 10. 26. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 최근 국내 금융 기업 및 보험사를 위장한 악성 CHM 파일이 RAR 형식으로 압축되어 유포되고 있습니다. 이러한 CHM 파일 내부에는 악성 스크립트가 포함된 HTML 파일이 존재하며, 사용자가 CHM 파일을 실행하면 정상 파일처럼 위장한 [그림 1]과 같이 본문 내용을 보여주지만 백그라운드에서는 악성 행위를 수행합니다. 이번 보고서에서는 ‘윈도우 도움말 파일(*.chm) 악성코드’ 에 대해 분석해 보도록 합니다. 윈도우 도움말 파일(*.chm)을 이용한 악성코드는 사용자의 정보를 탈취하고 시스템 정보 및 웹 브라우저 정보를 탈취하는 인포스틸러 악성코드입니다. 이러한 형태의 공격은 사용자의 화면에 정상 이미지와 텍스트를 보여줌으로써, 사용자..

악성코드 분석 리포트 2023. 8. 25. 09:13

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 2023년 상반기 발견된 "Money Message" 랜섬웨어는 해외 기업을 공격한 것으로 알려져 있습니다. 해당 랜섬웨어는 실행시 CMD창을 띄우고 암호화를 진행하지만 암호화 후에는 확장자가 변경되지 않기 때문에 사용자가 바로 인지하기가 어려움이 있으며, Bangladesh Airlines이 속해있는 도메인 정보가 하드코딩되어 들어있습니다. 따라서 본 보고서에서는 “Money Message” 랜섬웨어에 대해 상세 분석하고자 합니다. Money Message 랜섬웨어는 사용자 PC의 데이터를 암호화하여 금전을 요구하는 악성코드입니다. 해당 악성코드는 자신의 감염 동작을 CMD창에 띄워 사용자에게 알려주고, 하드코딩된 로그인 크리덴셜을 이용..

악성코드 분석 리포트 2023. 8. 25. 09:13

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. ‘LummaC2’ 악성코드는 정보 탈취형 악성코드로 2023년 상반기 다크웹에서 판매되고 있습니다. ‘LummaC2’ 악성코드는 사용자의 크리덴셜 정보를 탈취할 수 있으며, 최근까지도 ‘LummaC2’ 패널 기능의 업데이트가 이루어지고 있습니다. ‘LummaC2’ 악성코드는 사용자의 크리덴셜 정보를 탈취하고, 시스템 정보, 웹 브라우저 정보, 웹 브라우저 확장 프로그램, 가상화폐 지갑 파일, 텍스트 문서, 설치된 프로그램 정보 및 기타 응용 프로그램, 스크린샷, 메일 클라이언트의 다양한 정보를 탈취 기능을 가진 악성코드입니다. 만일 기업체에서 이러한 악성코드에 감염이 되는 경우, 크리덴셜 탈취 혹은 암호화폐 지갑 탈취에 따라 업무 상 해킹..

악성코드 분석 리포트 2023. 6. 23. 13:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 입사지원서를 위장한 피싱 메일을 통해 랜섬웨어 및 악성코드를 유포하는 방식은 예전부터 공격자들이 즐겨 사용하는 공격 방식 중 하나로 기업 채용 담당자들이 의심없이 열어볼 가능성이 커 현재까지도 꾸준하게 공격에 사용되고 있습니다. 이번에 발견된 악성코드는 "이XX_입사지원서.hwp.scr" 파일명으로 채용 지원 문서로 위장했습니다. 해당 파일은 아래한글 문서파일의 아이콘을 사용했지만 실제로는 악성코드를 포함한 실행파일(.exe)입니다. 사용자가 악성 실행파일을 한글 문서파일로 착각해 실행하면 정상적인 지원서가 실행되지만 백그라운드에서는 악성코드가 같이 실행되어 동작합니다. 이처럼 기업의 상시채용이나 채용시즌을 노린 입사지원 피싱메일이 꾸준히..

악성코드 분석 리포트 2023. 4. 19. 13:00

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다. 최근 발견된 Trojan.Android.KRBanker 악성 앱은 분석을 어렵게 하기 위해 압축 해제가 정상적으로 되지 않게 제작되어 유포되고 있습니다. 이 악성 앱은 기기에서의 설치는 정상적으로 진행되어 설치에 문제가 없으며 설치 후 정상적으로 악성 행위를 수행합니다. 이렇게 압축 포맷을 수정하게 되면 악성 앱의 발견을 늦출 수 있으며 결과적으로 백신에서 악성 앱의 탐지가 어려워질 것으로 판단됩니다. 이런 악성 앱은 스미싱 공격을 통해 꾸준하게 유포되고 있습니다. 공격자는 악성 앱을 개선하여 생존율을 높이기 위해 노력하고 있습니다. 악성 앱의 생존율이 높아지면 공격자는 이를 통한 수익을 실현할 확률이 올라가게 됩니다. 스마트폰을 사용하는 사용..

악성코드 분석 리포트 2023. 3. 24. 09:00

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다. 국내에서 작년 10월 경 LockBit 랜섬웨어를 유포하는 것으로 알려진 공격 그룹이 Amadey Bot를 활용한 정황이 확인되었고, 모듈을 통해서 정보 탈취 등의 기능을 수행하는 것으로 알려져 있습니다. 또한 최근에도 외국에서 일부 유포되는 정황이 확인되고 있습니다. Amadey의 주요 기능은 감염PC의 정보 수집 및 전송과 명령제어 기능, 그리고 추가 모듈 다운로드를 통해서는 애플리케이션 크리덴셜 탈취 및 클립보드에 저장된 암호화폐 지갑 주소 하이재킹 기능을 수행합니다. ‘Amadey’ 악성코드는 사용자 PC 정보 수집 및 전송 기능을 가진 악성코드입니다. 또한 추가적으로 모듈을 다운로드함으로써 기본 기능 외의 클립보드에 저장된 암호화..

악성코드 분석 리포트 2023. 3. 23. 14:53