본문 바로가기

바이러스24

[AhnLab보안이슈]V3 Lite 아이콘 위장한 악성코드 주의 V3 Lite 아이콘 위장한 악성코드 주의 AhnLab 2022-07-13 안랩은 V3 Lite 아이콘으로 위장한 악성코드가 유포되고 있는 것을 확인하였다. 실제 제품의 아이콘과 유사하게 제작되어 사용자를 속일 수 있어, 주의가 요구된다. 이번 글에서는 V3 Lite 아이콘으로 위장한 악성코드의 유포 방식에 대해 자세히 알아본다. ASEC 분석팀은 V3 Lite 아이콘으로 위장한 악성코드가 닷넷(.NET) 외형의 패커로 패킹되어 유포되는 정황을 포착하였다. 가짜 아이콘을 실제 V3 Lite 제품의 아이콘과 매우 유사하게 제작하여 사용자를 속이기 위한 목적으로 판단되며, 최근 한 달 간에는 이를 통해 아베마리아(AveMaria) RAT(Remote Administration Tool)와 에이전트테슬라(Ag.. 2022. 7. 18.

진짜 같은 가짜, 딥페이크의 위협 진짜 같은 가짜, 딥페이크의 위협 AhnLab 2021-11-17 요즘 SNS(인스타그램)에서 유행하는 앱이 있다. 중국에서 만든 페이스플레이(FacePlay)라는 이 앱은 딥페이크 기반 영상 합성 앱이다. 앱에 사진 한 장을 업로드하면 단 3초만에 다양한 영상에 자신의 얼굴을 합성해 준다. 사진 속에 내 얼굴이 무뚝뚝한 표정이더라도 웃는 얼굴의 영상을 만들어 준다. 신기하고 재미있는 앱이지만, 합성 영상으로 범죄에 악용될 수 있어 주의가 필요하다. 요즘 뜨고 있는 딥페이크 기술과 이를 악용한 사이버 범죄 사례에 대해 살펴본다. 진짜 같은 가짜, 딥페이크 기술 최근 인기를 끌고 있는 넷플릭스 드라마 오징어게임의 짤막한 영상에 이정재 얼굴 대신 손흥민 선수 얼굴이 합성되고 상대 배우 박해수 얼굴에는 해리 .. 2021. 11. 19.

대북 관련 문서 이용한 IE 제로데이 공격 주의! 대북 관련 문서 이용한 IE 제로데이 공격 주의! AhnLab 2021-11-17 ASEC은 그 동안 지속적으로 대북 관련 내용을 포함하고 있는 악성 문서에 대해 소개해왔다. 최근에도 비슷한 형태의 파일을 이용한 공격들을 포착해 분석을 진행했다. 그런데 이번에 발견한 파일에서는 마이크로소프트가 지난 9월에 발표한 신규 취약점(CVE-2021-40444)을 포함하고 있다는 점에서 주목할만하다. 이번 글에서는 MSHTML 취약점(CVE-2021-40444)을 활용한 최신 공격에 대해 알아본다. 대북 관련 악성 문서는 과거부터 공격자들이 꾸준히 이용한 공격 방식이지만, 최근 공격자들은 신규 취약점을 활용하는 등 발빠르게 새로운 기법들은 적용해 유포를 시도하고 있다. CVE-2021-40444는 MSHT.. 2021. 11. 19.

[AhnLab]악성 외부 링크를 이용한 워드 파일 주의! 악성 외부 링크를 이용한 워드 파일 주의! AhnLab 2021-11-03 최근 ASEC은 악성 워드 내 매크로를 실행시키기 위한 상위 공격 과정에서 C2가 살아있는 외부(External) 링크를 이용한 워드 샘플을 확인했다. 이러한 방식은 주로 대북 관련 본문 내용의 악성 워드에서 사용되어 왔으며, 이전 시큐리티레터(대북관련 본문 내용의 External 링크를 이용한 악성 워드 문서)에서도 소개한 바 있다. 이번에 발견된 악성 워드의 실행 과정은 과거와 어떻게 비슷한지 알아본다. 이번에 발견된 악성 워드는 아래와 같은 실행 흐름으로 동작한다. 놀랍게도 과거에 소개한 동작 방식과 동일하다. • 실행 흐름 : 악성 XML(External 링크 연결)이 포함된 워드 실행 후 추가 악성 파일 다운로드 시도.. 2021. 11. 4.

[AhnLab보안이슈]게임인 줄 알았는데… 웹하드에서 유포되는 악성코드 주의 게임인 줄 알았는데… 웹하드에서 유포되는 악성코드 주의 AhnLab 2021-10-13 ASEC은 국내에 유포되는 악성코드들의 유포지를 지속적으로 모니터링 해오던 중, 웹하드 게시글을 통해 배포되는 UDP Rat 악성코드를 발견했다. 지난 10월 1일 ASEC 블로그를 통해 공격에 활용된 웹하드 게시글을 공개한 뒤에도 또 다른 웹하드를 활용해 악성코드를 퍼뜨리는 정황이 포착되어 이를 소개하고자 한다. 10월 1일 ASEC 블로그 콘텐츠 바로가기 > 공격자로 추정되는 업로더는 10월 1일자 블로그가 공개된 이후에도, 또 다른 웹하드를 통해 유사한 악성코드를 성인 게임으로 위장하여 유포하고 있으며 현재도 다운로드가 가능한 상황이다. [그림 1] 게시글을 보면 공격자는 zip 압축 파일을 이용한 10월 1일 .. 2021. 10. 15.

[AhnLab보안이슈]갑자기 미국 은행에서 입금? 악성코드 조심하세요! 갑자기 미국 은행에서 입금? 악성코드 조심하세요! AhnLab 2021-07-28 안랩이 최근 미국의 유명 은행 ‘BOA(Bank of America)’의 ‘입금 확인 요청’ 자동 메일로 위장해 원격제어 악성코드를 유포하는 사례를 발견했다. 메일에 첨부된 악성 엑셀 파일의 ‘콘텐츠 사용’ 클릭 시 사용자 정보를 탈취할 수 있는 원격제어도구인 ‘Remcos RAT’ 악성코드에 감염된다. 먼저 공격자는 BOA의 자동발송 메일로 위장하기 위해 메일 주소에 ‘donot_reply(회신금지)’를 쓰고 BOA의 이름을 사용한 악성 엑셀파일을 첨부했다. 메일 본문에는 “당신의 계좌에 $9849가 전자자금이체(EFT, Electronic Fund Transfer) 방식으로 지급됐다. 자동 발송 메일이니 회신하지 말고 .. 2021. 7. 29.

[AhnLab보안이슈]악성 워드 공격, 해커는 같은 방법을 택하지 않는다 악성 워드 공격, 해커는 같은 방법을 택하지 않는다 AhnLab 2021-07-07 많은 사용자들의 일상에 자리잡은 워드(WORD), 해당 파일을 활용한 공격은 지속적으로 변화를 거듭하며 발전하고 있다. ASEC은 그 동안 지속적으로 관련 공격들을 소개해왔으며, 최근에도 여러 공격들을 포착해 분석을 진행했다. 이번 글에서는 악성 워드 매크로를 활용한 최신 공격에 대해 알아본다. 계속되는 악성 워드 문서 유포 ASEC은 지난 6월 9일과 6월 30일, 블로그 게시물을 통해 각각 ‘사례비 지급 의뢰서’, ‘하계 학술대회 약력 작성 양식’ 제목의 워드(WORD) 문서 악성코드가 유포 중임을 소개했다. 이후 유사한 공격 형태를 모니터링 하던 중, 지난 6월과 7월 1일에도 동일한 제작자에 의해 새로운 악성 워드.. 2021. 7. 9.

[AhnLab보안이슈]불법 음란물로 위장한 정보 탈취 악성코드 유포중 불법 음란물로 위장한 정보 탈취 악성코드 유포 중 AhnLab 2021-06-16 ASEC 분석팀은 최근 디스코드 메신저를 통해 불법 음란물로 위장한 정보 탈취 악성코드가 유포 중인 것을 확인했다. 이 악성코드는 디스코드 API를 이용해 탈취한 정보를 공격자에게 전달한다. 이번 글에서는 디스코드 메신저를 통해 유포 중인 악성코드의 공격 방법에 대해 알아본다. 악성코드를 유포하는 디스코드 서버에서는 [그림 1]과 같이 불법 성인물이 판매 및 유통된다. 관리자이자 악성코드 제작자는 구체적으로 해당 서버의 ‘무료야동’ 채널에 압축파일을 업로드하고 사용자들의 실행을 유도한다. [그림 1] 악성코드를 유포하는 불법 성인물 디스코드 채널 채널에 업로드된 압축파일 ‘run_2.zip’을 풀면 run.exe 실행파일을.. 2021. 6. 18.

[AhnLab보안이슈]안전한 PC 사용을 위한 기본 설정 팁! 안전한 PC 사용을 위한 기본 설정 팁! AhnLab 2021-06-16 PC를 구매하는 방법은 여러가지다. 인터넷이나 매장에서 새 PC 완제품을 구입할 수도 있고, 부품들을 사다가 조립할 수도 있고, 중고 사이트에서 중고 PC를 구입할 수도 있고, 혹은 기존 제품을 수리하거나 전시하던 제품을 재판매하는 리퍼PC를 구입할 수도 있다. 완제품 PC를 구입할 때는 큰 문제가 없지만 저렴하게 구입한다고 OS가 없는 PC 등을 구입하고 나면 이것저것 해야 할 일들이 참 많다. PC를 구입하고 가장 먼저 해야 할 일들을 알아본다. OS가 설치되어 있다면...드라이버 재설치 및 업데이트 중고 PC나 리퍼PC를 구입했다면 컴퓨터 전원을 켜고 나서 장치 관리자를 들어가보자. 느낌표(!)나 물음표(?)로 표시되는 하드웨.. 2021. 6. 18.

[AhnLab보안이슈]디지털 세상에도 거리두기가 필요한 이유 디지털 세상에도 거리두기가 필요한 이유 AhnLab 2021-06-02 코로나19가 흔한 일상의 모습들을 많이 바꿔 놓았다. 그 중 대표적인 것이 바로 ‘사회적 거리두기’이다. 코로나 확산을 방지하기 위해 사람과의 접촉을 줄이자는 게 사회적 거리두기의 목적이다. 사람들과 접촉할 수 있는 모든 기회, 즉 기업이나 학교, 종교 단체, 각종 모임 등에서 물리적 거리를 둠으로써 접촉 자체를 줄이는 것이다. 그런데 최근에는 사회적 거리두기 못지 않게 ‘디지털 거리두기’를 실천해야 한다는 주장이 설득력을 얻고 있다. 디지털 거리두기가 무엇인지, 그리고 디지털 거리두기를 실천하는 방법에 대해 살펴본다. # 중학생 아들 둘을 둔 학부모 A씨는 요즘 새로운 고민에 빠졌다. 코로나19로 원격수업이 장기화되면서 아이들이 학.. 2021. 6. 15.

[AhnLab 보안이슈]랜섬웨어 최신 공격 동향 공개! 랜섬웨어 최신 공격 동향 공개! AhnLab 2021-05-26 기업을 대상으로 하는 랜섬웨어 공격이 날이 갈수록 증가하고 있다. 이번 5월만 하더라도 미국 최대 민간 송유관 운영 기업이 랜섬웨어 공격을 받아 송유관 시설 가동이 전면 중단되는 사고가 있었다. 또한, 국내 유명 배달 플랫폼 기업이 랜섬웨어 공격을 받아 수만개 점포와 라이더들이 피해를 입기도 했다. 이번 글에서는 기업들을 노린 랜섬웨어 최신 공격 동향에 대해 알아본다. 최근 과학기술정보통신부가 배포한 보도자료에 따르면 은 해가 지날수록 증가하고 있는 추세이다. 랜섬웨어는 기업의 서비스 운영과 내부 민감 정보를 인질로 삼아 가상화폐 등 금전을 요구한다. 최근들어 가상화폐 가격이 많이 올랐기 때문에, 빠르게 서비스를 재개 해야하는 기업을 대상으.. 2021. 5. 28.

[AhnLab보안이슈]모르는 사람이 보낸 엑셀 파일 함부로 열지 마세요! 모르는 사람이 보낸 엑셀 파일 함부로 열지 마세요! AhnLab 2020-12-02 ASEC 분석팀은 매크로 시트(Excel 4.0 macro sheet)를 이용한 악성 엑셀 문서가 피싱 메일을 통해 국내에 다수 유포되는 것을 확인했다. 해당 메일은 실제 발송된 정상 메일을 활용해 사용자가 악성 여부를 인지하지 못하도록 해 각별한 주의가 요구된다. 악성코드 유포자들은 매크로 시트를 활용한 방식을 자주 사용해오고 있다. 지난 10월 유포된 Qakbot 악성코드에도 이 방법이 사용된 바 있다. *참고 문서: 급여명세서로 유포 중인 Qakbot 악성코드 (*.xlsb) 아래 그림은 악성코드 유포에 활용된 피싱 메일이다. 이메일에 한국어가 사용된 점을 볼 때 공격 대상에 국내 사용자들도 포함된 것으로 추정된다... 2020. 12. 3.

[AhnLab보안이슈]정상 문서 파일로 위장한 악성코드 주의하세요 정상 문서 파일로 위장한 악성코드 주의하세요 AhnLab 2020-09-09 안랩 ASEC 분석팀은 사이버 공격 조직 ‘김수키’(Kimsuky) 그룹의 소행으로 보이는 악성코드 유포 정황을 다수 확인했다. 김수키 그룹은 과거 국내 기관을 대상으로 한 공격의 유력한 배후로 잘 알려져 있다. 김수키 그룹이 유포한 것으로 추정되는 악성코드는 docx, pdf, txt 등 문서 확장자를 포함한 정상 파일로 위장해 배포되고 있다. 해당 악성코드는 감염된 PC에서 정상 문서 위장 파일 드롭 및 실행, 정보 탈취, 추가 악성코드 등을 수행하며, 국내 정부기관, 대학 교수 등을 대상으로 하는 APT 공격에 활용된다. 유포 파일 명(배포일) - 4.[아태연구]논문투고규정.docx.exe (2020/08/20)- Butt.. 2020. 9. 15.

[Ahnlab 보안이슈]부동의 1위는 에이전트테슬라, 급부상 중인 2위 악성코드는? 부동의 1위는 에이전트테슬라, 급부상 중인 2위 악성코드는? AhnLab 2020-07-01 안랩 시큐리티대응센터(이하 ASEC)는 2020년 6월 22일부터 28일까지 자사의 자동 분석 시스템인 라핏(RAPIT)을 통해 수집된 한 주간의 악성코드 통계 정보를 발표했다. 최근 일주일 동안 급부상한 악성코드는 무엇일까? 이 기간 동안 국내에서 가장 많은 수집된 악성코드는 정보탈취형 악성코드인 에이전트테슬라(AgentTesla)였다. 에이전트테슬라는 6월 한달 동안 매주 부동의 1위 자리를 놓치지 않은 가장 위협적인 악성코드이다. 2위는 코인 마이너 악성코드인 글룹테바(Glupteba), 3위는 정보 탈취형 악성코드인 폼북(Formbook)인 것으로 집계됐다. 이어 로키봇(Lokibot)과 njRAT가 공동.. 2020. 7. 20.

[AhnLab]직장인 노린 악성코드, 모습 바꿔가며 잇따라 유포 중 직장인 노린 악성코드, 모습 바꿔가며 잇따라 유포 중 AhnLab 2019-10-23 최근 국내 기업의 임직원을 노린 악성코드가 잇따라 발견되고 있다. 업무나 급여 등 다양한 내용으로 임직원의 관심을 끄는 것은 물론, 악성 파일을 다운로드하는 방식에도 계속 변화를 주고 있어 각별한 주의가 요구된다. 기업 임직원을 타깃으로 하는 악성코드가 새삼스러운 것은 아니지만, 지난 10월 중순부터 연달아 유포되고 있다는 점은 관심 가질 필요가 있다. 안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC)가 블로그를 통해 공개한 지난 10월 중순의 사례들의 공통점과 변화를 요약했다. 직장인이라면 익숙한 용어와 파일 우선, 최근 사례는 모두 스팸 이메일을 이용하.. 2019. 10. 24.

이전 1 2 다음

티스토리툴바