Analysis (67) 썸네일형 리스트형 108. Kimsuky's RAT(payload.vbs) 2025년 7월 16일, X에서 Kimsuky 그룹이 유포한 payload.vbs 파일이 확인되었다. payload.vbs 파일은 피해자 PC로부터 각종 정보를 탈취하는 인포스틸러 악성코드이다. 본 글에서는 해당 악성코드를 분석한다. * sha256: 51c93b900c298cf2c6fcaf85df3ce98ce2056bafff617d50bfbde696488da275 payload.vbs 파일은 아래와 같은 코드로 이루어져있다. 코드를 알아보기 힘들게 중간에 더미 값들이 존재하며 마지막 줄에 실행할 추가 파일이 16진수 형태로 작성되어 있다. 중간 더미 값들은 의미없는 값들이며 마지막 줄 16진수 파일이 추가 악성 파일이다. 위 16진수 값을 코드로 변환하면 아래와 같은 코드가 나타난다. 추가 악성 파일 .. 107. 저작권 침해 위장 Rhadamanthys Stealer 지난 2025년 5월부터 6월까지 저작권, 소유권 침해 관련 스피어피싱 메일을 통해 Rhadamanthys Stealer 악성코드가 유포되었다. 본 글에서는 해당 유포 과정을 분석한다. 먼저, 스피어피싱 메일은 아래 그림들과 같다. 메일 수신자가 저작권/소유권이 침해하고 있다는 내용으로 작성되어 있고, 관련 문서를 확인하기 위해서는 메일 내 링크를 클릭하도록 유도한다. 링크 클릭 시, 악성코드가 포함되어 있는 압축 파일이 다운로드 되는 형태이다. 이후, 피해자가 메일 내부 링크를 클릭해 파일을 다운로드하면 아래와 같은 압축 파일이 다운로드 된다. 압축 파일을 압축 해제 시, 아래와 같은 파일들을 확인할 수 있다.- pdf 파일 아이콘을 가진 실행 파일- 악성 dll 파일- 암호화 된 Rhadamanthy.. 106. Beavertail in github Lazarus 그룹이 사용하는 것으로 알려진 Beavertail 악성코드가 Github을 통해 유포되고 있는 것으로 보여진다. LOTS(Living Off Trusted Site) 기법을 사용해 유포하는 것으로 보여진다.Beavertail 악성코드의 경우, 이전에 스피어피싱 메일 등을 통해 유포된 적이 존재한다.https://asec.ahnlab.com/ko/87227/ 채용 메일을 위장한 피싱 공격 정황 사례 분석 (BeaverTail, Tropidoor) - ASEC2024년 11월 29일 Dev.to라는 이름의 개발자 커뮤니티에서 다음과 같이 채용 공고 메일을 위장해 악성코드를 유포하는 사례가 공개되었다. [1] 해당 사례에서 공격자는 프로젝트가 포함된 BitBucket 링asec.ahnlab.co.. 105. Kimsuky's Naver Phishing 보호되어 있는 글입니다. 104. Kimsuky's link to picture.lnk 2025년 05월 14일 VirusTotal에 link to picture.lnk 파일이 업로드되었다. 해당 파일은 lnk 형식을 띄며 파워쉘을 호출하는 등 여러 특징으로 보아 Kimsuky 그룹이 유포한 것으로 보여진다. 본 글에서는 해당 파일을 분석한다.* sha256: 7210ba8af9d40f85dc611a2b31b81e1addc257dba51eaf56402e82f193887650 먼저, link to picture.lnk 파일은 아래와 같이 lnk 파일 형식을 가지고 있다. 형식은 lnk이지만 실제 악성 행위를 수행하는 코드는 파일 내부에 파워쉘 코드로 작성되어있다. 파일 내 파워쉘 코드를 파싱해보면 아래와 같은 코드를 볼 수 있다. 해당 코드는 main.ps1 이라는 파일을 생성하는 파워쉘 코.. 101. 급여명세서 위장 스피어피싱 (to 공무원) 국내 메일 모니터링 중, 2025년 2월 20일에 아래와 같은 메일을 수집했다. 해당 메일은 2025년 2월 급여명세서로 위장한 스피어피싱 메일이다. 스피어피싱 대상은 정부 부처 중 하나인 중소기업벤처부의 한 공무원이었다. 첨부된 New PO (Lotte Korea).html을 열람하면 아래와 같은 페이지가 나타난다. 카카오 로그인 페이지로 위장한 공격자의 피싱 페이지이다. 피해자가 위 피싱 페이지에 아이디/비밀번호를 입력하고 로그인을 누르면 입력한 정보가 공격자의 서버로 전송된다. 아래 코드는 로그인에 연결된 action 부분이다.* C2 서버: hxxps://n*****ge.com/Bruteforce/catiers/muad.php 위 C2 서버의 Bruteforce 경로에 접근하면 아래와 같은 폴더.. 100. Kimsuky's 종신안내장v02_곽성환d X(구 Twitter)를 둘러보던 중, Kimsuky 그룹이 유포한 것으로 보여지는 종신안내장v02_곽성환d.zip 파일을 발견하였다. 이전의 Kimsuky 그룹이 악성코드를 유포했던 방식과 비슷해보인다. 또한, 곽성환 이라는 인물을 특정해 유포한 것으로 보여진다. 여러 공공기관에 곽성환 이라는 이름을 가진 분이 많아서 누구로 특정되었는지는 정확한 정보가 아직 없다. 본 글에서는 해당 파일에 대해 분석한다. * sha256: 079907b7feab3673a1767dbfbc0626e656f5d3b03b6cff471cc7cf8a1973ab34 먼저, 해당 악성코드는 zip 파일로 유포되었다. 크기는 약 7kb이다. 해당 파일을 압축 해제하면 아래와 같이 "종신안내장V02_곽성환D.pdf.pdf.lnk" 파일.. 98. Kimsuky's RFA_질문지 및 자유아시아방송 인터뷰 질의서 얼마 전, 모니터링 중이던 한국 url 들 중 특이한 파일명이 발견되었다. 해당 파일명은 first.txt 였으며 접근이 가능하기에 접속해보았는데, 오픈 디렉토리로 공개되어 있는 상태였다. 아래 파일들이 해당 url에서 저장해 둔 파일들이다. 자유아시아방송 인터뷰 질의서.hwp, RFA_질문지.hwp 등의 파일이 존재하는 것으로 보아 자유아시아방송(RFA) 기자를 위장해 타겟팅 한 대상에게 유포하려던 것으로 보여진다. (이미 유포했을 수도 있어보인다.) hwp 파일들은 모두 미끼 파일이며 RFA_질문지.hwp 는 암호화 되어 있고, 자유아시아방송 인터뷰 질의서.hwp 는 아래와 같이 작성되어 있다. 또한, first.txt, log_processlist.ps1, sec.txt, sec.vmd, start.. 이전 1 2 3 4 ··· 9 다음
