패스워드 파일로 위장하여 유포 중인 악성코드
Contents
AhnLab Security Emergency response Center(ASEC)은 지난 달 패스워드 파일로 위장하여 정상 문서 파일과 함께 압축 파일로 유포되는 악성코드를 확인하였다. 해당 유형의 악성코드는 정상 문서 파일을 함께 유포함으로써 사용자가 악성 파일임을 알아채기 어렵다. 최근 확인된 악성코드는 CHM과 LNK 형식으로, CHM의 경우 아래에 소개한 악성코드와 동일한 유형으로 같은 공격 그룹에서 제작한 것으로 보인다.
ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹(also known as APT37, ScarCruft) 이 제작한 것으로 추정되는 CHM 악성코드가 국내 사용자를 대상으로 유포되고 있는 정황을 포착하였다. 지난 2월에 소개한 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지 (Persistence)” 과정에서 사용된 명령어가 이번 공격에서도 동일한 형태로 사용된 것을 확인하였다. 해당 정보를 포함한 CHM 악성코드의 상세한 동작 과정은 아래에서 소개...
CHM과 LNK 파일은 모두 암호가 설정된 정상 문서 파일과 함께 압축되어 유포된 것으로 추정된다. 엑셀 및 한글 파일의 경우 암호가 설정되어 있어 사용자가 암호가 적힌 것으로 보여지는 CHM 및 LNK 파일을 실행하도록 유도한다.
두 유형 모두 동일한 형태로 유포되었지만 최종적으로 실행되는 악성 …
ASEC(AhnLab Security Emergency response Center) 분석팀은 RedEyes 공격 그룹(also known as APT37, ScarCruft) 이 제작한 것으로 추정되는 CHM 악성코드가 국내 사용자를 대상으로 유포되고 있는 정황을 포착하였다. 지난 2월에 소개한 RedEyes 그룹의 M2RAT 악성코드 공격 과정 중 “2.3. 지속성 유지 (Persistence)” 과정에서 사용된 명령어가 이번 공격에서도 동일한 형태로 사용된 것을 확인하였다. 해당 정보를 포함한 CHM 악성코드의 상세한 동작 과정은 아래에서 소개...
CHM과 LNK 파일은 모두 암호가 설정된 정상 문서 파일과 함께 압축되어 유포된 것으로 추정된다. 엑셀 및 한글 파일의 경우 암호가 설정되어 있어 사용자가 암호가 적힌 것으로 보여지는 CHM 및 LNK 파일을 실행하도록 유도한다.
두 유형 모두 동일한 형태로 유포되었지만 최종적으로 실행되는 악성 …
IoC
141.105.65.165
2b79e2bd6548118c942480a52b5a1669
809528921de39530de59e3793d74af98
b39182a535f41699280ca088eef0f258
http://141.105.65.165/data//mid.php
http://141.105.65.165/data/11.html
http://hondes.getenjoyment.net/denak/info/list.php?query=1
http://shacc.kr/skin/product/1.html
http://shacc.kr/skin/product/mid.php
2b79e2bd6548118c942480a52b5a1669
809528921de39530de59e3793d74af98
b39182a535f41699280ca088eef0f258
http://141.105.65.165/data//mid.php
http://141.105.65.165/data/11.html
http://hondes.getenjoyment.net/denak/info/list.php?query=1
http://shacc.kr/skin/product/1.html
http://shacc.kr/skin/product/mid.php