분석 정보 840

가짜 구인 광고로 유포되는 Ov3r_Stealer

최근 페이스북에서 가짜 구인 광고를 이용해 유포되는 “Ov3r_Stealer” 악성코드가 발견됐다. 가짜 광고에는 악성코드를 다운로드하는 링크가 포함돼 있으며, 업무와 관련된 상세 정보의 제공을 미끼로 링크 접속을 유도한다. 링크에서 다운로드된 악성코드가 실행되면 감염된 호스트에서 자격 증명과 암호 화폐 등의 민감한 정보를 탈취한다. “Ov3r_Stealer”는 [그림 1]과 같이 윈도우 에러 리포팅 서비스인 “WerFaultSecure.exe”를 실행하고, DLL 사이드 로딩 기법을 이용해 악성 DLL을 로드한다. 해당 DLL은 바이너리 파일에 저장된 스틸러 페이로드를 복호화 후 실행한다. 가짜 구인 광고에 포함된 링크에 접속하면 악성 CPL(제어판) 파일이 다운로드되며, 해당 파일은 PowerShel..

메신저 앱에서 정보를 탈취하는 VajraSpy

최근, 메신저 앱으로 위장해 감염된 디바이스에서 정보를 수집하는 안드로이드 악성 앱 “VajraSpy”가 발견됐다. 해당 악성 앱은 구글 플레이 또는 악성 링크를 포함한 가짜 광고로 유포됐으며, 다양한 종류의 메신저로 위장하고 있다. 해당 앱을 실행하면 디바이스의 기본 메시지와 통화 앱 뿐만 아니라 WhatsApp과 Signal 등의 다른 메신저에서도 정보를 탈취한다. “VajraSpy”가 위장한 메신저 중 하나인 Wave Chat을 실행하면 전화번호로 사용자를 등록한 후, 메시지 서비스를 제공하는 정상적인 앱처럼 동작한다. 단, 앱이 실행되기 전 먼저 악성 동작에 필요한 접근성 서비스와 알림 서비스 접근 권한을 요청한다. 해당 권한을 획득하면 카메라, 파일 및 위치 등의 권한을 추가로 요청하는데, 이때..

Qilin 랜섬웨어 리눅스 버전

최근 리눅스 버전의 “Qilin” 랜섬웨어가 발견됐다. 해당 랜섬웨어는 2022년 8월 경, "Agenda"라는 이름으로 등장했으며, 한 달 후 "Qilin"으로 이름이 변경돼 현재까지 활동 중이다. 이번 변종은 주로 VMWare ESXi 서버를 공격하며 가상화 및 에뮬레이터와 관련된 프로세스의 실행을 종료한다. 또한, ESXi 서버 내에서 실행 중인 가상 환경의 스냅샷을 삭제하고 종료하는 기능도 포함됐다. 여기에 ESXi 서버의 메모리 힙 고갈 버그에 대한 임시 조치 방안과 버퍼 캐시 설정을 변경하는 명령도 추가됐다. “Qilin” 랜섬웨어를 실행하면 지정된 경로의 파일을 암호화하고 암호화된 파일은 파일 이름에 “.o7LO3e8F9J” 확장자를 추가한다. 해당 랜섬웨어를 실행할 때 -p 옵션을 사용하면..

모듈형 인포스틸러 Rhadamanthys

최근 “Rhadamanthys” 스틸러 악성코드의 유포 정황이 잇따라 발견되고 있다. 해당 악성코드는 모듈식 구조로 필요한 기능을 추가하거나 최소한의 필요한 기능만 실행하는 등 공격자가 대상과 목적에 맞게 커스텀할 수 있다. 해당 악성코드가 실행되면 내장된 모듈이 차례대로 로드 및 실행되며, 최종적으로 스틸러 페이로드를 다운로드해 정보 탈취를 목적으로 한다. “Rhadamanthys” 스틸러는 [그림 1]과 같이 코드 인젝션, 분석 방지 및 C&C 서버 통신을 수행하는 각각의 모듈로 구성된다. 분석 방지 모듈의 조건을 통과하면, C&C 서버에서 추가 명령 및 페이로드를 수신한다. 악성코드를 실행하면, 먼저 내부 디코딩 루틴을 사용해 쉘 코드를 생성하고, 메모리에 공간에 로드 후 실행한다. 생성된 코드는 ..

대출 앱으로 위장한 정보탈취 앱, SpyLoan

최근, 구글 플레이 스토어에서 정상 대출 앱으로 위장해 민감한 정보를 탈취하는 악성 앱 “SpyLoan”이 발견됐다. 해당 앱은 동남아시아, 아프리카 및 라틴 아메리카 지역을 대상으로 유포되며, 대출을 명목으로 사용자에게 개인 및 금융 정보를 입력하도록 유도한다. 공격자는 수집한 정보를 이용해 사용자에게 협박 메시지를 보내고, 금전을 갈취한다. “SpyLoan” 앱은 먼저 전화번호 인증을 이용해 사용자 등록 및 로그인을 요청하며, 미리 설정된 국가 번호는 대상 국가를 특정하고 있음을 알 수 있다. 로그인에 성공하면, 데이터를 수집하기 위해 과도한 권한을 요청한다. 이후, 대출에 필요한 과정인 것처럼 사용자를 속여 연락처, 신분증 및 은행 정보 등 민감한 정보를 입력하도록 유도한다. 사용자가 입력한 개인 ..

문서 파일로 위장한 SugarGh0st RAT

최근 “Gh0st RAT”의 변종인 “SugarGh0st RAT” 악성코드가 한국과 우즈베키스탄을 대상으로 유포된 정황이 발견됐다. 해당 악성코드 PDF 또는 DOC 문서로 위장한 LNK 파일로 유포되며, 실행하면 미끼 문서를 띄워 정상 파일인 것처럼 사용자를 속인 후, 감염된 PC에서 정보 수집, 키로깅, 화면 캡처 및 리버스 쉘 등을 포함한 다양한 공격을 수행한다. “SugarGh0st RAT” 악성코드는 [그림 1]과 같이 한국어 또는 우즈베크어로 작성된 미끼 문서를 띄워 정상 파일인 것처럼 사용자를 속이고, 백그라운드에서 악성 동작을 수행한다. 문서로 위장한 LNK 파일은 “%TEMP%” 폴더에 자바 스크립트 파일을 드롭 및 실행한다. 자바 스크립트는 [그림 3]과 같이 난독화가 적용돼 있으며, ..

지역 뉴스 앱으로 위장한 Kamran 스파이웨어

파키스탄의 길기트 발티스탄 지역 뉴스인 Hunza News 앱으로 위장한 “Kamran” 스파이웨어가 발견됐다. 해당 앱은 우르두어 버전의 Hunza News 모바일 페이지에서 유포됐으며, 감염된 디바이스에서 민감한 정보를 수집하고 공격자에게 전송한다. Hunza News 앱으로 위장한 “Kamran” 스파이웨어를 실행하면, 처음에 연락처, SMS 메시지, 통화 기록 및 로컬 저장소 등에 접근할 수 있는 과도한 권한을 요구한다. 권한 요청을 수락하고 대시보드 화면으로 넘어가면 Hunza News의 SNS와 모바일 페이지로 연결되는 버튼을 확인할 수 있다. 해당 버튼을 클릭하면 [그림 2]와 같이 실제 페이지로 연결되면서 정상 앱처럼 동작한다. 그러나 백그라운드에서는 획득한 권한으로 [표 1]의 목록에 접..

CyberLink 설치 파일로 유포되는 LambLoad 악성코드

최근 북한 해킹조직의 소프트웨어 공급망 공격 정황이 잇따라 발견되고 있다. 대만의 멀티미디어 소프트웨어 기업인 사이버링크(CyberLink) 또한 공격 대상이 됐으며, 손상된 사이버링크 소프트웨어 설치 파일이 일본, 대만, 캐나다 및 미국 등 여러 국가에서 발견됐다. 해당 파일은 소프트웨어 설치 과정 중간에 악성 페이로드가 삽입돼 있으며, 실행하면 C&C 서버에서 “LambLoad” 악성코드를 다운로드 및 실행한다. 손상된 사이버링크 설치 파일은 정상 파일과 아이콘 및 파일명이 동일하며, “CyberLink Corp.”에서 발급된 인증서로 서명돼 있어 사용자의 의심을 피하기 쉽다. 현재 해당 인증서는 Microsoft의 “허용되지 않은 인증서 목록”에 추가됐다. 설치 파일에 삽입된 악성 페이로드는 시스템..

데이팅 앱을 위장한 Arid Viper의 공격

Arid Viper 그룹의 Android 사용자를 표적으로 하는 공격이 발견되었다. Cisco Talos에 따르면 해당 캠페인은 작년 4월부터 등장한 것으로 전해진다. 정상의 데이팅 애플리케이션과 유사한 모습으로 위장하여, 정보 탈취 및 악성 코드 다운로드 등의 악성 동작을 수행한다. 아래의 실행 화면은 ‘Skipped’ 이름으로 유포된 악성코드이다. 해당 앱은 악성 동작을 수행하기 위해, 여러가지 권한을 획득한다. 단말기의 종류 및 모델에 따라 일부 차이가 있으나, 접근성 권한과 알림 권한을 획득한다. 그리고 관리자 모드로 앱을 실행하도록 설정하고, 악성동작의 지속성을 유지하기 위해 해당 앱의 배터리 최적화 설정을 취소한다. 그리고 일부 제조사 보안 패키지를 탐지한 후, 자동 실행 설정을 수행한다. 그..

Node.js를 활용하는 Lu0Bot 악성코드

최근 SFX 압축 파일 형태로 유포되는 “Lu0Bot” 악성코드가 발견됐다. 해당 악성코드는 C&C 서버의 명령을 받아 동작하는 봇 악성코드이며, Node.js 인터프리터와 암호화된 JavaScript를 포함하고 있다. “Lu0Bot”을 실행하면, 스스로 압축을 해제 후 Node.js를 사용해 암호화된 JavaScript를 복호화 및 실행한다. Node.js는 플랫폼에 구애 받지 않고 JavaScript 코드를 실행할 수 있게 해주는 프로그램으로 다양한 기능을 지원하는 라이브러리를 내장하고 있기 때문에 “Lu0Bot”은 별도의 외부 소스 없이 다양한 동작을 수행할 수 있다. 다만, 현재 해당 악성코드는 PE 파일로 유포되고 있어 Windows에서만 실행되지만, Node.js의 활용은 Linux 등의 다른..