본문 바로가기

바이러스18

[AhnLab보안이슈]악성 워드 공격, 해커는 같은 방법을 택하지 않는다 악성 워드 공격, 해커는 같은 방법을 택하지 않는다 AhnLab 2021-07-07 많은 사용자들의 일상에 자리잡은 워드(WORD), 해당 파일을 활용한 공격은 지속적으로 변화를 거듭하며 발전하고 있다. ASEC은 그 동안 지속적으로 관련 공격들을 소개해왔으며, 최근에도 여러 공격들을 포착해 분석을 진행했다. 이번 글에서는 악성 워드 매크로를 활용한 최신 공격에 대해 알아본다. 계속되는 악성 워드 문서 유포 ASEC은 지난 6월 9일과 6월 30일, 블로그 게시물을 통해 각각 ‘사례비 지급 의뢰서’, ‘하계 학술대회 약력 작성 양식’ 제목의 워드(WORD) 문서 악성코드가 유포 중임을 소개했다. 이후 유사한 공격 형태를 모니터링 하던 중, 지난 6월과 7월 1일에도 동일한 제작자에 의해 새로운 악성 워드.. 2021. 7. 9.
[AhnLab보안이슈]불법 음란물로 위장한 정보 탈취 악성코드 유포중 불법 음란물로 위장한 정보 탈취 악성코드 유포 중 AhnLab 2021-06-16 ASEC 분석팀은 최근 디스코드 메신저를 통해 불법 음란물로 위장한 정보 탈취 악성코드가 유포 중인 것을 확인했다. 이 악성코드는 디스코드 API를 이용해 탈취한 정보를 공격자에게 전달한다. 이번 글에서는 디스코드 메신저를 통해 유포 중인 악성코드의 공격 방법에 대해 알아본다. 악성코드를 유포하는 디스코드 서버에서는 [그림 1]과 같이 불법 성인물이 판매 및 유통된다. 관리자이자 악성코드 제작자는 구체적으로 해당 서버의 ‘무료야동’ 채널에 압축파일을 업로드하고 사용자들의 실행을 유도한다. [그림 1] 악성코드를 유포하는 불법 성인물 디스코드 채널 채널에 업로드된 압축파일 ‘run_2.zip’을 풀면 run.exe 실행파일을.. 2021. 6. 18.
[AhnLab보안이슈]안전한 PC 사용을 위한 기본 설정 팁! 안전한 PC 사용을 위한 기본 설정 팁! AhnLab 2021-06-16 PC를 구매하는 방법은 여러가지다. 인터넷이나 매장에서 새 PC 완제품을 구입할 수도 있고, 부품들을 사다가 조립할 수도 있고, 중고 사이트에서 중고 PC를 구입할 수도 있고, 혹은 기존 제품을 수리하거나 전시하던 제품을 재판매하는 리퍼PC를 구입할 수도 있다. 완제품 PC를 구입할 때는 큰 문제가 없지만 저렴하게 구입한다고 OS가 없는 PC 등을 구입하고 나면 이것저것 해야 할 일들이 참 많다. PC를 구입하고 가장 먼저 해야 할 일들을 알아본다. OS가 설치되어 있다면...드라이버 재설치 및 업데이트 중고 PC나 리퍼PC를 구입했다면 컴퓨터 전원을 켜고 나서 장치 관리자를 들어가보자. 느낌표(!)나 물음표(?)로 표시되는 하드웨.. 2021. 6. 18.
[AhnLab보안이슈]디지털 세상에도 거리두기가 필요한 이유 디지털 세상에도 거리두기가 필요한 이유 AhnLab 2021-06-02 코로나19가 흔한 일상의 모습들을 많이 바꿔 놓았다. 그 중 대표적인 것이 바로 ‘사회적 거리두기’이다. 코로나 확산을 방지하기 위해 사람과의 접촉을 줄이자는 게 사회적 거리두기의 목적이다. 사람들과 접촉할 수 있는 모든 기회, 즉 기업이나 학교, 종교 단체, 각종 모임 등에서 물리적 거리를 둠으로써 접촉 자체를 줄이는 것이다. 그런데 최근에는 사회적 거리두기 못지 않게 ‘디지털 거리두기’를 실천해야 한다는 주장이 설득력을 얻고 있다. 디지털 거리두기가 무엇인지, 그리고 디지털 거리두기를 실천하는 방법에 대해 살펴본다. # 중학생 아들 둘을 둔 학부모 A씨는 요즘 새로운 고민에 빠졌다. 코로나19로 원격수업이 장기화되면서 아이들이 학.. 2021. 6. 15.
[AhnLab 보안이슈]랜섬웨어 최신 공격 동향 공개! 랜섬웨어 최신 공격 동향 공개! AhnLab 2021-05-26 기업을 대상으로 하는 랜섬웨어 공격이 날이 갈수록 증가하고 있다. 이번 5월만 하더라도 미국 최대 민간 송유관 운영 기업이 랜섬웨어 공격을 받아 송유관 시설 가동이 전면 중단되는 사고가 있었다. 또한, 국내 유명 배달 플랫폼 기업이 랜섬웨어 공격을 받아 수만개 점포와 라이더들이 피해를 입기도 했다. 이번 글에서는 기업들을 노린 랜섬웨어 최신 공격 동향에 대해 알아본다. 최근 과학기술정보통신부가 배포한 보도자료에 따르면 은 해가 지날수록 증가하고 있는 추세이다. 랜섬웨어는 기업의 서비스 운영과 내부 민감 정보를 인질로 삼아 가상화폐 등 금전을 요구한다. 최근들어 가상화폐 가격이 많이 올랐기 때문에, 빠르게 서비스를 재개 해야하는 기업을 대상으.. 2021. 5. 28.
[AhnLab보안이슈]모르는 사람이 보낸 엑셀 파일 함부로 열지 마세요! 모르는 사람이 보낸 엑셀 파일 함부로 열지 마세요! AhnLab 2020-12-02 ASEC 분석팀은 매크로 시트(Excel 4.0 macro sheet)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포되는 것을 확인했다. 해당 메일은 실제 발송된 정상 메일을 활용해 사용자가 악성 여부를 인지하지 못하도록 해 각별한 주의가 요구된다. 악성코드 유포자들은 매크로 시트를 활용한 방식을 자주 사용해오고 있다. 지난 10월 유포된 Qakbot 악성코드에도 이 방법이 사용된 바 있다. *참고 문서: 급여명세서로 유포 중인 Qakbot 악성코드 (*.xlsb) 아래 그림은 악성코드 유포에 활용된 피싱 메일이다. 이메일에 한국어가 사용된 점을 볼 때 공격 대상에 국내 사용자들도 포함된 것으로 추정된다... 2020. 12. 3.
[AhnLab보안이슈]정상 문서 파일로 위장한 악성코드 주의하세요 정상 문서 파일로 위장한 악성코드 주의하세요 AhnLab 2020-09-09 안랩 ASEC 분석팀은 사이버 공격 조직 ‘김수키’(Kimsuky) 그룹의 소행으로 보이는 악성코드 유포 정황을 다수 확인했다. 김수키 그룹은 과거 국내 기관을 대상으로 한 공격의 유력한 배후로 잘 알려져 있다. 김수키 그룹이 유포한 것으로 추정되는 악성코드는 docx, pdf, txt 등 문서 확장자를 포함한 정상 파일로 위장해 배포되고 있다. 해당 악성코드는 감염된 PC에서 정상 문서 위장 파일 드롭 및 실행, 정보 탈취, 추가 악성코드 등을 수행하며, 국내 정부기관, 대학 교수 등을 대상으로 하는 APT 공격에 활용된다. 유포 파일 명(배포일) - 4.[아태연구]논문투고규정.docx.exe (2020/08/20)- Butt.. 2020. 9. 15.
[Ahnlab 보안이슈]부동의 1위는 에이전트테슬라, 급부상 중인 2위 악성코드는? 부동의 1위는 에이전트테슬라, 급부상 중인 2위 악성코드는? AhnLab 2020-07-01 안랩 시큐리티대응센터(이하 ASEC)는 2020년 6월 22일부터 28일까지 자사의 자동 분석 시스템인 라핏(RAPIT)을 통해 수집된 한 주간의 악성코드 통계 정보를 발표했다. 최근 일주일 동안 급부상한 악성코드는 무엇일까? 이 기간 동안 국내에서 가장 많은 수집된 악성코드는 정보탈취형 악성코드인 에이전트테슬라(AgentTesla)였다. 에이전트테슬라는 6월 한달 동안 매주 부동의 1위 자리를 놓치지 않은 가장 위협적인 악성코드이다. 2위는 코인 마이너 악성코드인 글룹테바(Glupteba), 3위는 정보 탈취형 악성코드인 폼북(Formbook)인 것으로 집계됐다. 이어 로키봇(Lokibot)과 njRAT가 공동.. 2020. 7. 20.
[AhnLab]직장인 노린 악성코드, 모습 바꿔가며 잇따라 유포 중 직장인 노린 악성코드, 모습 바꿔가며 잇따라 유포 중 AhnLab 2019-10-23 최근 국내 기업의 임직원을 노린 악성코드가 잇따라 발견되고 있다. 업무나 급여 등 다양한 내용으로 임직원의 관심을 끄는 것은 물론, 악성 파일을 다운로드하는 방식에도 계속 변화를 주고 있어 각별한 주의가 요구된다. 기업 임직원을 타깃으로 하는 악성코드가 새삼스러운 것은 아니지만, 지난 10월 중순부터 연달아 유포되고 있다는 점은 관심 가질 필요가 있다. 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC)가 블로그를 통해 공개한 지난 10월 중순의 사례들의 공통점과 변화를 요약했다. 직장인이라면 익숙한 용어와 파일 우선, 최근 사례는 모두 스팸 이메일을 이용하.. 2019. 10. 24.
[AhnLab 보안 이슈] 클롭(CLOP) 랜섬웨어 동향 및 대응 방안 클롭(CLOP) 랜섬웨어 동향 및 대응 방안 AhnLab 2019-07-08 최근 국내 기업을 타깃으로 유포되는 클롭(CLOP) 랜섬웨어의 변종이 잇따라 나타나면서 피해가 확산되고 있다. 안랩 시큐리티대응센터(이하 ASEC)에 따르면 클롭 랜섬웨어는 올해 초 이메일에 실행 파일(.exe), 워드(.doc)나 엑셀(.xls) 파일을 첨부해 유포되었으며, 5월말 경부터 스크립트(HTML)을 첨부하는 방식으로 변화했다. 다양한 산업 분야에서 클롭 랜섬웨어 피해가 확인됐다. 공격자는 Ammyy 해킹툴을 이용해 기업 내부의 중앙 관리 서버에 침투한 후 관리 서버에 연결된 시스템을 클롭 랜섬웨어에 감염시킨다. 또한 Ammyy 해킹툴은 침투 후 내부 시스템의 OS 정보, 권한, 사용자 이름, 컴퓨터 이름 등 기본 정.. 2019. 7. 15.
[AhnLab]또 다시 새로운 랜섬웨어 등장, 국내 사용자 노린다! 또 다시 새로운 랜섬웨어 등장, 국내 사용자를 노린다! AhnLab 2019-05-15 최근 새로운 랜섬웨어가 국내 사용자를 타깃으로 유포되고 있는 것이 확인됐다. 특히 정상적인 윈도우 시스템 파일을 통해 PC에 다운로드되기 때문에 더욱 피해가 우려된다. (*이미지 출처: shutterstock.com) 지난 5월 13일, 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC)의 악성코드 분석가들이 새로운 랜섬웨어가 국내에 유포된 것을 포착했다. 이번에 발견된 랜섬웨어는 국내 사용자를 타깃으로 한 정황과 함께 기존 랜섬웨어와는 다소 다른 특징을 보인다. [그림 1] 신종 랜섬웨어의 랜섬 노트 우선, 이 랜섬웨어는 정상 윈도우 시스템 파일인 "regsv.. 2019. 5. 16.
[AhnLab]가상화폐 채굴 악성코드, 또다시 불법 공유 사이트에 등장 가상화폐 채굴 악성코드, 또다시 불법 공유 사이트에 등장 AhnLab 2018-03-21 최근 불법 스트리밍 동영상 사이트를 통해 사용자 몰래 가상화폐를 채굴하는 사례가 발견됐다. 특히 이번 공격은 웹어셈블리(WebAssembly) 스크립트를 사용하고 있는 것으로 확인됐다. [그림 1]은 국내 사용자들이 주로 이용하는 불법 동영상 공유 사이트이다. [그림 1] 동영상 공유 사이트 해당 사이트의 메인페이지에는 악성 스크립트가 삽입되어 있지 않으나 영상을 보기 위해 게시물을 클릭하면 악성 스크립트가 로드된다. 실행된 스크립트는 사용자의 자원을 이용해 가상화폐를 채굴한다. 이번 공격의 주 목적은 가상화폐 채굴을 위한 자원을 탈취하는 것이다. 때문에 공격자는 자바 스크립트(JavaScript)가 아닌 빠른 속도.. 2018. 3. 22.
[보안뉴스]가상화폐 관련 게시물로 위장한 악성코드 유포, 주의! 가상화폐 관련 게시물로 위장한 악성코드 유포, 주의! 가상화폐 관련 게시물로 위장한 악성코드 유포, 주의! AhnLab 2018-02-07 연일 가상화폐(또는 암호화폐, Cryptocurrency)가 이슈다. 많은 사람들의 이목이 집중된 것은 악의적인 공격자의 관심을 끌기 마련. 최근 국내 온라인 커뮤니티 사이트의 가상화폐 관련 게시판에 악성 스크립트가 삽입된 글이 게시된 사례가 확인돼 사용자의 각별한 주의가 요구된다. 공격자는 유명 온라인 커뮤니티 내 가상화폐 관련 주제 게시판에 악성 스크립트를 삽입한 게시물을 올렸다. 사용자가 해당 게시물을 열면 드라이브-바이-다운로드(Drive-by-download) 방식에 의해 악성코드에 감염된다. ‘드라이브-바이-다운로드’ 방식이란 사용자가 직접적으로 악성코드를.. 2018. 2. 8.
랜섬웨어 피해 예방 프로젝트 <패치 관리>편 랜섬웨어 피해 예방 프로젝트 편 AhnLab 2017-07-05 회사원 A씨는 블로그를 통해 유틸리티 프로그램을 다운로드했다가 화면에 갑자기 빨간색 협박문구가 뜨는 것을 보았다. 급히 마우스를 움직여 보았지만 이미 중요 파일들은 암호화되어 실행조차 할 수 없었다. 지난 5월 13일, 워너크립터 랜섬웨어가 전세계 150여 개국의 병원, 통신회사, 자동차 공장, 일반 기업 및 공공 기관의 시스템 30만대를 감염시켰다. 이 워너크립터 랜섬웨어는 윈도우 OS의 SMB 취약점을 통해 네트워크 상에 연결된 PC를 감염시키며 빠르게 확산됐다. 마이로소프트는 이미 지난 3월 마이크로소프트는 해당 취약점의 보안 패치를 배포했지만 해당 패치를 적용하지 않은 사용자들이 많아 ‘역대급’ 피해로 기록됐다. 이 사건은 일반 사용.. 2017. 7. 6.
[보안지식]한국인터넷진흥원 - 보호나라 소개(PC원격점검, PC보안업데이트, 바이러스백신) 1. 원격점검 서비스 원격점검 서비스란? 해킹 및 바이러스 등의 피해를 입었으나 스스로 해결이 불가능한 경우 상담원이 직접 상담자의 PC에 접속하여, 악성코드(해킹툴, 바이러스, 스파이웨어 등)를 제거하고 보안관련 기본사항을 점검해 주는 무료 서비스 입니다. ※ 삼담 및 문의는 국번없이 118 원격 점검 서비스 시간 : (평일) 09:00 ~ 17:00 까지 ->원격점검 신청하기온라인 검사 ② 점검일시 확인(전화) -> ③ 원격 점검 서비스(온라인) -> ④ 서비스만족도조사(메일) ※ PC 원격점검 서비스는 정보보호 인식이 부족하고, 보안이 취약한 민간부문의 일반 이용자를 위한 서비스 입니다. 기업 이용자, 공공기관, 관공서, 공기업 등은 본 서비스 대상에서 제외되므로, 사내 및 기관내 PC보안 및 유지.. 2015. 3. 29.