Analysis (41) 썸네일형 리스트형 70. North Korea's Phishing mail program (메일전송 프로그람 ver10.0) 얼마 전, 북한 지원 공격자들이 사용했던 것으로 보여지는 피싱 메일 생성/전송 프로그램을 입수했다. 매우 신기해서 분석해봤다. 일단, 메일 전송 프로그램은 아래 그림처럼 생겼다. 특이점으로는 "오유", "프로그람" 이라는 북한식 말을 사용하고 있다는 점이다. 또, 버전이 10.0인 것을 보면 해당 프로그램이 이전에도 여러 버전이 있었을 것으로 보여진다. 메일 전송시에 base64 인코딩이나 난독화 등을 수행할 것인지에 대한 체크 박스도 존재한다. 실제로 전송이 되나 궁금해서 개인 메일로 테스트를 진행해봤는데, 전송 이후에는 "메일전송이 완료되였습니다" 라는 문구가 나타난다. 메일 서버에서 걸러진 것인지는 모르지만, 실제로 메일이 도착되지는 않았다. 만약 메일이 실제로 전송된다면 아래 두 링크 중 하나를 .. 67. Xworm V5.2 얼마 전, Xworm V5.2 가 유포된 것이 ITW 상 포착되었다. 분석하기에 재밌어 보여 해당 악성코드에 대해 분석해보았다. * sha256 : 5ce080055262bb21798a99e83d370fab41b809ebd8d59bc083bdac2a49b2427e 기본적으로 해당 샘플은 .NET 악성코드이다. 내부를 살펴보면 "Fluxsus V8" 이라는 이름을 가지고 있는데, 해당 이름은 로블록스 구동에 필요한 소프트웨어인 "Fluxus" 를 위장한 것으로 보여진다. 해당 악성코드는 실행 시 중복 방지를 위해 뮤텍스를 생성한 뒤, 파일 내부의 일부 값을 추출해 새로운 실행 파일들을 생성한다. 총 4개의 추가 파일을 생성한다. 이 중 하나는 "schtasks.exe" 파일명을 가지고 생성된다. 탐지 회피.. 66. BianLian ransomware 최근 BianLian 랜섬웨어가 활발하게 활동중이다. lockbit, play 랜섬웨어등과 함께 일주일에 최소 2개 이상 감염을 일으키고 있는 것으로 보인다. 본 글에서는 해당 랜섬웨어 대해 분석한다. * sha256 : eaf5e26c5e73f3db82cd07ea45e4d244ccb3ec3397ab5263a1a74add7bbcb6e2 아래 도식도는 BianLian 랜섬웨어의 수행을 나타낸다. BianLian 랜섬웨어는 RDP를 통해 피해자 PC에 접근하며 피해자 PC에 접근하면 데이터를 탈취하고 해당 데이터를 C2로 전송하는 것으로 보여진다. 이후 BianLian을 실행해 피해자 PC의 파일들을 암호화한다. BianLian 랜섬웨어는 Go 언어로 제작되었다. 해당 파일은 1.15.0 이상의 Go 언어로.. 65. Kimsuky's 트레이딩 스파르타코스 강의안-100불남(2차) 얼마 전, VirusTotal에 업로드 된 트레이딩 스파르타코스 강의안-100불남(2차) 라는 이름의 악성코드를 발견하였다. 해당 악성코드는 Kimsuky 그룹에서 유포한 것으로 보여진다. 또한 해당 악성코드는 lnk 파일로 바로가기 형태를 띄는데, 피해자에게는 pdf 파일로 위장하기 위하여서 .pdf.lnk 형태의 확장자를 사용하고 있다. * sha256: 265b69033cea7a9f8214a34cd9b17912909af46c7a47395dd7bb893a24507e59 해당 악성코드는 cmd로 바로가기 연결되어있다. 내부에는 powershell 코드를 포함하고 있어, cmd를 통해 powershell을 실행시킨다. 해당 powershell 코드는 dropbox api를 통해 로그인 및 파일을 다운로드.. 64. No-Justice Wiper 2024년 1월 6일, 아래와 같은 기사를 접했다. 오랜만에 Wiper 악성코드를 보기도 했고, 이란측 공격자들의 악성코드도 오랜만에 분석해보고 싶어서 해당 악성코드를 분석해봤다. https://thehackernews.com/2024/01/pro-iranian-hacker-group-targeting.html Pro-Iranian Hacker Group Targeting Albania with No-Justice Wiper Malware A new wave of cyber attacks in Albania, orchestrated by an Iranian group, uses a destructive malware named No-Justice. thehackernews.com * sha256 : 36.. 62. andariel's DLRAT 얼마 전, Andariel 그룹의 DLRAT 이라는 악성코드가 유포된 것을 확인하였다. 해당 악성코드는 TALOS 측에서 Operation Blacksmith 라는 명칭을 사용한 분석 보고서에서 확인하였는데, D lang 을 사용해 작성된 악성코드라고해서 분석해보았다. https://blog.talosintelligence.com/lazarus_new_rats_dlang_and_telegram/ Operation Blacksmith: Lazarus targets organizations worldwide using novel Telegram-based malware written in DLang Our latest findings indicate a definitive shift in the tactic.. 61. 발주서 11월 10일 얼마 전, 바이러스토탈에 특정 기업 내 임직원을 겨냥한 악성 이메일이 업로드 된 것을 확인하였다. 본 글에서는 해당 악성 스피어피싱 이메일을 분석한다. 발신된 이메일은 "하태용" 이라는 특정인으로 위장하고 있고, VBT001299.dat 의 첨부파일을 첨부하고있다. 내용에서는 "첨부의 내용으로 발주하오니 납기 확인부탁드립니다." 라고 말하며 첨부파일의 열람을 유도한다. 첨부된 첨부파일은 iframe 태그로 특정인을 겨냥한 스피어피싱 페이지로 피해자를 이동시킨다. 열람 즉시 피해자는 iframe 태그 내의 피싱 페이지로 이동하게된다. 피싱 페이지로 이동하게 되면 엑셀 로그인 창을 위장하는 페이지가 나타난다. 특정인의 아이디 계정이 미리 채워져 있고, 패스워드란만 비워져있어 패스워드 입력을 유도한다. 피해자.. 60. Kimsuky's 국제안보군사정세(통권 제 273호) 얼마 전, Kimsuky 그룹이 유포한 것으로 확인되는 "2023년 10월 4주차 주간 국제안보군사정세(통권 제 273호).lnk" 파일이 발견되었다. 본 글에서는 해당 악성코드를 분석한다. sha256 : 178bf7767629645cc2d0ce18287568751bfae1feb317313513a08fd1b6d97204 먼저, 해당 파일의 헤더는 PK로 압축 파일 형식을 띈다. 하지만 파일 내부 다른 부분에서 실제 악성행위를 수행하는 코드들을 포함하고 있다. 파일 내 다른 부분을 살펴보면 아래와 같이 파워쉘 코드를 포함하고 있음을 알 수 있다. 해당 파워쉘 코드는 파일 내부 영역에서 위장 pdf 파일과 실제 악성행위를 수행하는 bat 파일을 추출한다. 파워쉘 코드가 실행되면 아래와 같이 bat 파일과 .. 이전 1 2 3 4 ··· 6 다음
