잉카인터넷 시큐리티대응센터 블로그

최근 공격 대상의 조직 구성원을 사칭한 이메일을 이용해 저널리스트를 대상으로 유포되는 “SuperBear” RAT가 발견됐다. 이메일에 첨부된 악성코드를 실행하면, 자동화 프로그램인 오토잇(AutoIt)의 실행파일과 스크립트가 다운로드 되며, 해당 스크립트는 프로세스 할로잉(Process Hollowing) 기술을 사용해 “SuperBear” 코드를 메모리에 주입한다. 이후, “SuperBear”는 C&C 서버에 연결해 명령어를 수신하고, 추가적인 악성 동작을 수행한다. 오토잇 스크립트가 실행되면, 먼저 내부 데이터를 복호화해 “SuperBear”의 PE 코드를 생성한다. 이후, 프로세스 할로잉 대상이 될 “explorer.exe” 프로세스의 인스턴스를 suspended 상태로 생성한다. 생성된 “exp..

최근 APT36 해커 그룹이 YouTube 앱을 사칭한 "CapraRAT" 악성코드를 배포하는 정황이 발견됐다. APT36 해커 그룹은 자체 운영 웹사이트와 사회 공학 기법을 사용해 구글 플레이 스토어 외부에서 악성코드를 배포한다. 사용자가 파일을 설치하면 "CapraRAT"은 마이크, 전면 및 후면 카메라를 이용한 녹음과 모니터링과 같은 수많은 위험 권한을 요청한다. 이때 사용자가 권한을 수락하면 공격자는 감염된 기기에서 통신 정보와 같은 민감한 개인 정보를 탈취한다. 보안 업체 SentinelLabs는 해당 공격이 카슈미르 분쟁 지역 관련 조직과 파키스탄 인권 운동가의 감시를 목적으로 사용된다고 언급했다. 외신은 해당 악성코드가 지속적으로 업데이트되고 있다고 덧붙이며, 공식 구글플레이 스토어 외부에서..