ASEC 주간 악성코드 통계 (20230515 ~ 20230521) - ASEC BLOG

Impotant:
http://156.96.113.118/mBkwl189.bin
http://194.59.218.151/cautnDynEWFuQDcr13.bin
77.91.124.20
http://www.uyruio.xyz/km37/
https://appriver.com/resources/blog/january-2020/powerpoint-malware-references-drake-lyrics-dro
194.59.218.151
http://161.35.102.56/~nikol/?p=3757765559
156.96.113.118
http://185.246.220.85/zang1/five/fre.php
http://www.jumshow.life/e8fg/
http://www.opuspring.xyz/nh2c/
http://mail.garagerobert.be
https://api.telegram.org/bot2134979594:AAFk4QkrlHlt2a-q-EhIoHZBbzxSH0QxiBI/
http://abjkad.com/zoro/zoro3/fre.php
https://api.telegram.org/bot5515611206:AAEcQSX8hXHOAxSYr8KUdLxGF5eqw4FRXoA/
161.35.102.56
171.22.30.164
http://www.xysklhgf.xyz/ae30/
http://www.unbal.online/ws6g/
https://onedrive.live.com/download?cid=B3A4F33189E0D368&resid=B3A4F33189E0D368%21108&authkey=ACmZ5gPUu1ORstc
http://www.martmill.xyz/eopl/
http://194.59.218.151/ogqsoyvQUVxNbPnp100.bin
http://77.91.124.20/store/games/index.php
https://api.telegram.org/bot2062652208:AAEyc-7xEcUOQxNpdlexOidqQZT1Fi23E0A/sendDocument
http://www.towfire.life/0uvr/
https://www.autoriasztoshop.hu/playX/GQPYcjbsP104.bin
http://us2.smtp.mailhostbox.com
http://gmail.com
info@garagerobert.be
http://www.mexob.online/ga36/
http://www.conexclean.ro/Layblock/xiakxoxJKOHxLam198.bin
jinhux31@gmail.com
185.246.220.85
http://www.dwkapl.xyz/m82/
http://www.doyuip.xyz/my28/
https
boys@opttools-tw.com
http://hungars.eu.org/rarataz/yXWYtlEVamUfrQPM66.bin
185.246.220.60
http://www.martspot.xyz/gtpe/
http://garagerobert.be
http://www.cataput.info/jaux/
http://www.conexclean.ro/medlab/xiakxoxJKOHxLam198.bin
http://194.59.218.151/iuIje150.bin
http://www.artexchange.top/v08v/
http://www.viezo.xyz/s17b/
http://171.22.30.164/fresh1/five/fre.php
104.156.227.195
194.180.48.211
https://drive.google.com/uc?export=download&id=1ZjWD9VBh6pUrS1nsegWPvBNKF40xegE3
https://drive.google.com/uc?export=download&id=1k7S-2GZMC_JRBQNA2Iid2iwqulM8MrlM
http://www.delisious.xyz/uifn/
http://opttools-tw.com
http://www.jumshow.life/mu8t/
http://104.156.227.195/~blog/?p=369572314317708
http://www.crpons.xyz/ca82/
http://194.180.48.211/nibro/wHiiH26.bin
http://www.bywek.online/wm23/
http://www.delisious.xyz/gkme/
http://194.59.218.151/GXFckquqUZuCKmRXGvLpRrIB64.bin
http://185.246.220.60/fred2/five/fre.php

요약:
ASEC(AhnLab Security Emergency response Center)는 RAPIT 자동 분석 시스템을 활용하여 5월 15일부터 21일까지 수집된 악성코드 통계를 분류하고 대응하고 있습니다. 인포스틸러가 43.8%로 1위를 차지하고, 다운로더, 백도어, 랜섬웨어, 코인마이너로 이어집니다. 가장 많은 비중을 차지한 Amadey Bot 악성코드는 다운로더로써 공격자의 명령을 받아 추가 악성코드를 설치하고 정보 탈취 모듈이 사용될 경우 사용자 정보를 수집할 수 있습니다. ASEC는 RAPIT 자동 분석 시스템을 활용하여 5월 15일부터 21일까지 수집된 악성코드를 분류하고 대응하고 있습니다. 대분류 상으로 인포스틸러가 43.8%로 1위를 차지하고, 가장 많은 비중을 차지한 Amadey Bot 악성코드는 다운로더로써 공격자의 명령을 받아 추가 악성코드를 설치하고 정보 탈취 모듈이 사용될 경우 사용자 정보를 수집합니다.

내용:
ASEC(AhnLab Security Emergency response Center)에서는 ASEC 자동 분석 시스템 RAPIT 을 활용하여 알려진 악성코드들에 대한 분류 및 대응을 진행하고 있다. 본 포스팅에서는 2023년 5월 15일 월요일부터 5월 21일 일요일까지 한 주간 수집된 악성코드의 통계를 정리한다.
대분류 상으로는 인포스틸러가 43.8%로 1위를 차지하였으며, 그 다음으로는 다운로더가 36.9%, 이어서 백도어 15.3%, 랜섬웨어가 3.4%, 코인마이너가 0.6%로 집계되었다.
Top 1 – Amadey
Amadey Bot 악성코드는 이번 주 25.6%를 차지하며 1위에 올랐다. Amadey는 다운로더 악성코드로서 공격자의 명령을 받아 추가 악성코드를 설치할 수 있으며, 정보 탈취 모듈이 사용될 경우에는 감염 시스템의 사용자 정보들을 수집하기도 한다.
일반적으로 Amadey는 정상 프로그램 및 크랙 악성코드를 위장해 유포되고 있는 SmokeLoader에 의해 설치된다. 하지만 최근에는 기업 사용자들을 대상으로 스팸 메일에 첨부된 악성 문서 파일을 통해 유포되면서 LockBit 랜섬웨어를 설치하는데 이용되고 있다. SmokeLoader를 통해 유포 중인 Amadey Bot – ASEC BLOG Amadey Bot은 2018년경부터 확인되는 악성코드로서 공격자의 명령을 받아 정보 탈취나 추가 악성코드를 설치할 수 있다. 일반적인 악성코드들처럼 Amadey 또한 불법 포럼 등을 통해 판매되고 있으며, 이에 따라 현재까지도 다양한 공격자들에 의해 사용되고 있다. ASEC 분석팀에서는 2019년 ASEC 블로그를 통해 Amadey가 공격에 사용된 사례들을 공개한 바 있다. 대표적으로 GandCrab 랜섬웨어 공격자들에 의해 랜섬웨어를 설치하는 데 사용되거나, Clop 랜섬웨어로 유명한 TA505 그룹에 의해 FlawedAmmyy… Amadey Bot을 이용한 LockBit 3.0 랜섬웨어 유포 중 – ASEC BLOG ASEC 분석팀에서는 최근 Amadey 봇 악성코드가 LockBit 랜섬웨어를 설치하는 데 사용되고 있는 것을 확인하였다. Amadey Bot은 2018년경부터 확인되는 악성코드로서 공격자의 명령을 받아 정보 탈취나 추가 악성코드를 설치할 수 있다. 일반적인 악성코드들처럼 Amadey 또한 불법 포럼 등을 통해 판매되고 있으며, 이에 따라 현재까지도 다양한 공격자들에 의해 사용되고 있다. Amadey는 과거 GandCrab 랜섬웨어 공격자들에 의해 랜섬웨어를 설치하는 데 사용되거나, Clop 랜섬웨어로 유명한 TA505 그룹에 의해…
다음은 확인된 C&C 서버 주소들이다. hxxp://77.91.124[.]20/store/games/index.php Top 2 – AgentTesla
인포스틸러 악성코드인 AgentTesla가 23.9%로 2위를 기록하였다. AgentTesla는 웹 브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이다. AgentTesla 악성코드 국내에 어떻게 유포되고 있나? – ASEC BLOG 올해 초부터 피싱 메일에 악성 파워포인트(*.PPT) 파일이 첨부되어 유포중인 사례가 확인되고 있다. ASEC 분석팀에서는 최근 이러한 공격 방식을 통해 AgentTesla가 최종 실행된 것을 포착하여 이에 대해 알리려한다. 해외에서는 아래 블로그처럼 해외에서도 올 1월 정보유출형 악성코드 azorult가 메일에 첨부된 PPT를 통해 유포되었다. (해외 블로그 : https://appriver.com/resources/blog/january-2020/powerpoint-malware-references-drake-lyrics-dro…
수집한 정보 유출 시 메일 주로 메일 즉 SMTP 프로토콜을 활용하지만 FTP나 Telegram API 등을 사용하는 샘플도 존재한다. 최근 샘플들의 C&C 정보는 아래와 같.....

Open New Windows

ASEC 주간 악성코드 통계 (20230515 ~ 20230521) - ASEC BLOG:
https://asec.ahnlab.com/ko/53144/