Home > Àüü±â»ç

±â¾÷ È«º¸¹° Á¦ÀÛÀ¸·Î À§ÀåÇÑ ¾Ç¼º LNK À¯Æ÷

ÀÔ·Â : 2023-11-12 20:18
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
URLÀ» ÅëÇØ À¯Æ÷µÇ´Â ¾Ç¼º LNK ÆÄÀÏ...±â¾÷ È«º¸ ÀÚ·á Á¦ÀÛÀ¸·Î À§Àå
¸ÞÀÏ ¹ß½ÅÀÚ¸¦ »ó¼¼ÇÏ°Ô È®ÀÎÇÏ°í, Ãâó°¡ ºÒºÐ¸íÇÑ ÆÄÀÏÀº ¿­¶÷ ÀÚÁ¦Çؾß


[º¸¾È´º½º ¹ÚÀºÁÖ ±âÀÚ] ÃÖ±Ù ±ÝÀ¶ ¹× ºí·ÏüÀÎ ±â¾÷ Á¾»çÀÚµéÀ» ´ë»óÀ¸·Î À̸ÞÀÏÀ» ÅëÇÑ ¾Ç¼º LNK ÆÄÀÏÀÇ À¯Æ÷°¡ È®ÀεƴÙ. ¾Ç¼º ÆÄÀÏÀ» ÀüÆÄÇÏ´Â °úÁ¤¿¡¼­ ±â¾÷ È«º¸ ÀÚ·á Á¦ÀÛ Á¤º¸¸¦ ÀÔ·ÂÇϵµ·Ï »ç¿ëÀÚ¸¦ À¯µµÇÏ´Â »ç·Ê°¡ ¹ß°ßµÆ´Ù. »ç¿ëÀÚ´Â ¹®¼­°¡ Á¤»óÀûÀ¸·Î ¿­¸° °ÍÀ¸·Î ¿ÀÀÎÇÏ°í, º¸¾È À§Çù¿¡ ³ëÃâµÉ °¡´É¼ºÀÌ ³ô¾ÆÁö°Ô µÈ´Ù.

¡ã¾Ç¼º ÆÄÀÏÀ» À¯Æ÷ÇÏ´Â °úÁ¤¿¡¼­ ±â¾÷ È«º¸¹° Á¦ÀÛ ¹®¼­·Î À§ÀåÇÑ´Ù[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


¾È·¦ ASEC ºÐ¼®ÆÀ¿¡ µû¸£¸é ¾Ç¼º LNK ÆÄÀÏÀº URLÀ» ÅëÇØ À¯Æ÷µÇ°í ÀÖ¾ú´Ù. ´Ù¿î·ÎµåµÇ´Â ÆÄÀÏÀº ¡®ºí·ÏüÀÎ ±â¾÷ ¼Ö·ç¼Ç Æí¶÷ Á¦ÀÛ.zip¡¯ ¸íÀÇ ¾ÐÃàÆÄÀÏ·Î, °ø°ÝÀÚ´Â ÇØ´ç URL¿¡ ¾Ç¼ºÆÄÀÏ°ú Á¤»óÆÄÀÏÀ» ¹ø°¥¾Æ ¿Ã·Á³õÀ¸¸ç ºÐ¼®¿¡ È¥µ¿À» Áá´Ù. ´Ù¿î·Îµå URLÀº ´ÙÀ½°ú °°´Ù.

-hxxps://file.lgclouds001[.]com/read/?ra=****.**@w*******ge.com&zw=ºí·ÏüÀÎ%20±â¾÷%20¼Ö·ç¼Ç%20Æí¶÷%20Á¦ÀÛ.zip
hxxps://file.ssdrive001[.]com/read/?ra=*****.***@w*******ge.com&zw=ºí·ÏüÀÎ%20±â¾÷%20¼Ö·ç¼Ç%20Æí¶÷%20Á¦ÀÛ.zip

¡ã(¿ÞÂʺÎÅÍ) ¾Ç¼º ÆÄÀÏ ´Ù¿î·Îµå, Á¤»ó ÆÄÀÏ ´Ù¿î·Îµå[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


´Ù¿î·Îµå µÈ ¾ÐÃàÆÄÀÏ ³»¿¡´Â DOCX ÆÄÀÏ ´ë½Å ¾Ç¼º LNK ÆÄÀÏÀÌ Æ÷ÇԵǾî ÀÖ´Ù. ¾Ç¼º LNK ÆÄÀÏ°ú docx ¹®¼­ÆÄÀÏÀÇ ±¸º°ÀÌ ¾î·Æ´Ù´Â ¹®Á¦°¡ ÀÖ´Ù. LNK ÆÄÀÏÀÇ Æ¯¼º»ó ÆÄÀÏ¸í µÚ¿¡ È®ÀåÀÚ°¡ ºÙÁö ¾ÊÀ¸¸ç, ¾ÆÀÌÄÜ¿¡ Æ÷ÇÔµÈ ¹Ù·Î°¡±â È­»ìÇ¥ À̹ÌÁö¸¦ Á¦¿ÜÇϸé ÀÏ¹Ý DOCX ¹®¼­ÆÄÀÏ°ú À¯»çÇÏ´Ù.

¡ã³­µ¶È­ ÇØÁ¦µÈ PowerShell ½ºÅ©¸³Æ®[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


¾È·¦ ASEC ºÐ¼®ÆÀÀÌ ºÐ¼®ÇÑ LNK ÆÄÀÏÀº 300MB(¸Þ°¡¹ÙÀÌÆ®)°¡·®ÀÇ ºñÁ¤»óÀûÀ¸·Î Å« Å©±â¸¦ °¡Áö¸ç, ³»ºÎ¿¡ ³­µ¶È­µÈ PowerShell ¸í·É¾î°¡ Æ÷ÇԵǾî ÀÖ´Ù. ÇØ´ç PowerShell ½ºÅ©¸³Æ®´Â ÀÚ±â ÀÚ½Å(LNK)ÀÇ ³»ºÎ¿¡ Æ÷ÇÔµÈ binary¸¦ xor ¿¬»êÇØ ¾Æ·¡ ÆÄÀÏÀ» »ý¼ºÇÑ´Ù. ÀÌÈÄ Á¤»ó ¹®¼­ÆÄÀÏ(1._ÀÛ¼º¾ç½Ä.docx)À» ½ÇÇàÇÏ°Ô µÈ´Ù.

-{Current path}\1._ÀÛ¼º¾ç½Ä.docx (Á¤»ó)
-%public%\qDLgNa.cab (¾Ç¼º)

¡ã´Ù¼öÀÇ ¾Ç¼º BAT ½ºÅ©¸³Æ®°¡ Æ÷ÇÔµÈ CAB ÆÄÀÏ(qDLgNa.cab)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


»ý¼ºµÈ ÆÄÀÏ Áß cab ÆÄÀÏ ³»ºÎ¿¡´Â Ãß°¡ ¾Ç¼º ½ºÅ©¸³Æ®(vbs, bat)°¡ Á¸ÀçÇϸç, ¡®%public%\documents\¡¯ Æú´õ¿¡ ¾ÐÃà ÇØÁ¦ ÈÄ ¡®start.vbs¡¯¸¦ ½ÇÇàÇÑ´Ù. ÀÌÈÄ ÈçÀûÀ» Áö¿ì±â À§ÇØ ÀÚ±â ÀÚ½Å(LNK)°ú .cab ÆÄÀÏÀ» »èÁ¦ÇÏ´Â ¹æ½ÄÀÌ´Ù. start.vbs ÆÄÀÏÀº ´Ü¼øÈ÷ 66022014.bat ¹èÄ¡ÆÄÀÏÀ» ½ÇÇàÇÏ´Â ¿ªÇÒÀ» ÇÑ´Ù.

¡ãBAT ½ºÅ©¸³Æ®°£ÀÇ °ü°è¸¦ ³ªÅ¸³½ µµ½Äµµ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


ÀÌÈÄ ¿©·¯ ±â´ÉÀÌ °¢°¢ÀÇ bat ÆÄÀÏ·Î ³ª´µ¾îÁ® ½ÇÇàµÈ´Ù. À§ ÀÚ·á´Â °¢ bat ÆÄÀÏÀÇ °ü°è¿¡ ´ëÇÑ °£·«ÇÑ µµ½ÄµµÀÌ´Ù.

¡ã66022014.bat[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


¡®66022014.bat¡¯ ÆÄÀÏÀº ´ÙÀ½°ú °°Àº ÇàÀ§¸¦ ¼öÇàÇÑ´Ù.
-ÀÚµ¿ ½ÇÇà µî·Ï : HKCU\Software\Microsoft\Windows\CurrentVersion\Run °æ·Î¿¡ ÀÚ½ÅÀ» µî·ÏÇÔÀ¸·Î½á Áö¼Ó¼º À¯Áö
-07915735.bat ½ÇÇà (Ãß°¡ ÆÄÀÏ ´Ù¿î·Îµå)
-73505966.bat ½ÇÇà (½Ã½ºÅÛ Á¤º¸ ¼öÁý)
-Ãß°¡ ÆÄÀÏ ´Ù¿î·Îµå :hxxp://accwebcloud[.]com/list.php?f=%COMPUTERNAME%.txt&r={Key} ÇöÀç C2 Á¢¼Ó ºÒ°¡
-¾ÐÃà ÇØÁ¦ ÈÄ temprun.bat ½ÇÇà

¡ã07915735.bat[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


07915735.bat ÆÄÀÏÀº ´ÙÀ½°ú °°Àº ÇàÀ§¸¦ ¼öÇàÇÑ´Ù.
-Ãß°¡ ÆÄÀÏ ´Ù¿î·Îµå: hxxps://file.lgclouds001[.]com/read/get.php?ra={string}&r={key} ÇöÀç C2 Á¢¼Ó ºÒ°¡
-¾ÐÃà ÇØÁ¦ : ºñ¹Ð¹øÈ£ ¡®a¡¯
-³»ºÎ¿¡ Æ÷ÇÔµÈ 1.bat ÆÄÀÏ ½ÇÇà

¡ã73505966.bat[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


73505966.bat ÆÄÀÏÀº ´ÙÀ½°ú °°Àº ÇàÀ§¸¦ ¼öÇàÇÑ´Ù.
-½Ã½ºÅÛ Á¤º¸ ¼öÁý
%username%\downloads °æ·Î¿¡ Á¸ÀçÇÏ´Â ÆÄÀÏ ¸ñ·Ï
%username%\documents °æ·Î¿¡ Á¸ÀçÇÏ´Â ÆÄÀÏ ¸ñ·Ï
%username%\desktop °æ·Î¿¡ Á¸ÀçÇÏ´Â ÆÄÀÏ ¸ñ·Ï
ÇöÀç ½ÇÇà ÁßÀÎ ÇÁ·Î¼¼½º ¸ñ·Ï
ÄÄÇ»ÅÍ Á¤º¸
-05210957.bat ÆÄÀÏÀ» ÅëÇØ C2·Î Àü¼Û : hxxp://accwebcloud[.]com/upload.php

¡ã73505966.bat[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


ƯÈ÷, Ãß°¡ ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÒ ¶§ µ¿ÀÛÇÏ´Â ¡®88730413.bat¡¯Àº ³»ºÎ¿¡ PowerShell ½ºÅ©¸³Æ®°¡ Á¸ÀçÇÑ´Ù. Argument·Î ¹ÞÀº URL Áß ÀϺΠ¹®ÀÚ¿­À» ÇöÀç ½Ã½ºÅÛ ½Ã°£ °ª(Key)À¸·Î ¾ÏȣȭÇÏ°í Key °ªÀ» ¡®r=¡¯µÚ¿¡ ÀÌ¾î ºÙ¿© URL¿¡ Æ÷ÇÔÇÏ´Â ¹æ½ÄÀ¸·Î ¾ÏȣȭÇØ Àü¼ÛÇϵµ·Ï ¼³°èµÇ¾î ÀÖ´Ù. ÀÌ´Â ¾Ç¼º URL ¿äûÀÌ °è¼ÓÇؼ­ ¹Ù²ï´Ù´Â Á¡À» º¸¾Æ ŽÁö¸¦ ¾î·Æ°Ô Çϱâ À§ÇÑ °ÍÀ¸·Î º¸ÀδÙ.

°ø°ÝÀÚ´Â ÃÖÁ¾ÀûÀ¸·Î temprun.bat ÆÄÀÏÀ» ½ÇÇàÇÏ·Á´Â °ÍÀ¸·Î º¸À̳ª ÇöÀç URL¿¡ Á¢¼ÓÀÌ ºÒ°¡´ÉÇØ ÀÌÈÄ ÇàÀ§´Â ÃßÀûÀÌ ¾î·Á¿ü´Ù´Â °Ô ¾È·¦ ASEC ºÐ¼®ÆÀÀÇ ¼³¸íÀÌ´Ù. URL ¿¬°áÀÌ °¡´ÉÇÒ °æ¿ì, °ø°ÝÀÚ°¡ ¿Ã¸®´Â ÆÄÀÏ¿¡ µû¶ó Qasar RAT, Amadey µî ´Ù¾çÇÑ ¾Ç¼º ÆÄÀÏÀÌ ´Ù¿î·Îµå µÉ ¼ö ÀÖ´Ù.

ÃÖ±Ù ±¹³» »ç¿ëÀÚ¸¦ ´ë»óÀ¸·Î ´Ù¾çÇÑ ÁÖÁ¦¸¦ ÀÌ¿ëÇÑ ¾Ç¼º LNK ÆÄÀÏÀÌ À¯Æ÷µÇ°í ÀÖ´Â ¸¸Å­ »ç¿ëÀÚµéÀÇ °¢º°ÇÑ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù. ¾È·¦ ASEC ºÐ¼®ÆÀÀº ¸ÞÀÏÀÇ ¹ß½ÅÀÚ¸¦ »ó¼¼ÇÏ°Ô È®ÀÎÇØ¾ß Çϸç Ãâó°¡ ºÒºÐ¸íÇÑ ÆÄÀÏÀÇ °æ¿ì ¿­¶÷À» ÀÚÁ¦ÇØ¾ß ÇÑ´Ù°í ´çºÎÇß´Ù. ¶ÇÇÑ, PC Á¡°ËÀ» ÁÖ±âÀûÀ¸·Î ÁøÇàÇÏ°í º¸¾È Á¦Ç°ÀÇ °æ¿ì ÃֽŠ¾÷µ¥ÀÌÆ®°¡ ÇÊ¿äÇÏ´Ù°í °­Á¶Çß´Ù.
[¹ÚÀºÁÖ ±âÀÚ(boan5@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)