분석 정보877 문서 파일로 위장한 SugarGh0st RAT 최근 “Gh0st RAT”의 변종인 “SugarGh0st RAT” 악성코드가 한국과 우즈베키스탄을 대상으로 유포된 정황이 발견됐다. 해당 악성코드 PDF 또는 DOC 문서로 위장한 LNK 파일로 유포되며, 실행하면 미끼 문서를 띄워 정상 파일인 것처럼 사용자를 속인 후, 감염된 PC에서 정보 수집, 키로깅, 화면 캡처 및 리버스 쉘 등을 포함한 다양한 공격을 수행한다. “SugarGh0st RAT” 악성코드는 [그림 1]과 같이 한국어 또는 우즈베크어로 작성된 미끼 문서를 띄워 정상 파일인 것처럼 사용자를 속이고, 백그라운드에서 악성 동작을 수행한다. 문서로 위장한 LNK 파일은 “%TEMP%” 폴더에 자바 스크립트 파일을 드롭 및 실행한다. 자바 스크립트는 [그림 3]과 같이 난독화가 적용돼 있으며, .. 2023. 12. 14. 지역 뉴스 앱으로 위장한 Kamran 스파이웨어 파키스탄의 길기트 발티스탄 지역 뉴스인 Hunza News 앱으로 위장한 “Kamran” 스파이웨어가 발견됐다. 해당 앱은 우르두어 버전의 Hunza News 모바일 페이지에서 유포됐으며, 감염된 디바이스에서 민감한 정보를 수집하고 공격자에게 전송한다. Hunza News 앱으로 위장한 “Kamran” 스파이웨어를 실행하면, 처음에 연락처, SMS 메시지, 통화 기록 및 로컬 저장소 등에 접근할 수 있는 과도한 권한을 요구한다. 권한 요청을 수락하고 대시보드 화면으로 넘어가면 Hunza News의 SNS와 모바일 페이지로 연결되는 버튼을 확인할 수 있다. 해당 버튼을 클릭하면 [그림 2]와 같이 실제 페이지로 연결되면서 정상 앱처럼 동작한다. 그러나 백그라운드에서는 획득한 권한으로 [표 1]의 목록에 접.. 2023. 12. 6. CyberLink 설치 파일로 유포되는 LambLoad 악성코드 최근 북한 해킹조직의 소프트웨어 공급망 공격 정황이 잇따라 발견되고 있다. 대만의 멀티미디어 소프트웨어 기업인 사이버링크(CyberLink) 또한 공격 대상이 됐으며, 손상된 사이버링크 소프트웨어 설치 파일이 일본, 대만, 캐나다 및 미국 등 여러 국가에서 발견됐다. 해당 파일은 소프트웨어 설치 과정 중간에 악성 페이로드가 삽입돼 있으며, 실행하면 C&C 서버에서 “LambLoad” 악성코드를 다운로드 및 실행한다. 손상된 사이버링크 설치 파일은 정상 파일과 아이콘 및 파일명이 동일하며, “CyberLink Corp.”에서 발급된 인증서로 서명돼 있어 사용자의 의심을 피하기 쉽다. 현재 해당 인증서는 Microsoft의 “허용되지 않은 인증서 목록”에 추가됐다. 설치 파일에 삽입된 악성 페이로드는 시스템.. 2023. 11. 29. 데이팅 앱을 위장한 Arid Viper의 공격 Arid Viper 그룹의 Android 사용자를 표적으로 하는 공격이 발견되었다. Cisco Talos에 따르면 해당 캠페인은 작년 4월부터 등장한 것으로 전해진다. 정상의 데이팅 애플리케이션과 유사한 모습으로 위장하여, 정보 탈취 및 악성 코드 다운로드 등의 악성 동작을 수행한다. 아래의 실행 화면은 ‘Skipped’ 이름으로 유포된 악성코드이다. 해당 앱은 악성 동작을 수행하기 위해, 여러가지 권한을 획득한다. 단말기의 종류 및 모델에 따라 일부 차이가 있으나, 접근성 권한과 알림 권한을 획득한다. 그리고 관리자 모드로 앱을 실행하도록 설정하고, 악성동작의 지속성을 유지하기 위해 해당 앱의 배터리 최적화 설정을 취소한다. 그리고 일부 제조사 보안 패키지를 탐지한 후, 자동 실행 설정을 수행한다. 그.. 2023. 11. 10. Node.js를 활용하는 Lu0Bot 악성코드 최근 SFX 압축 파일 형태로 유포되는 “Lu0Bot” 악성코드가 발견됐다. 해당 악성코드는 C&C 서버의 명령을 받아 동작하는 봇 악성코드이며, Node.js 인터프리터와 암호화된 JavaScript를 포함하고 있다. “Lu0Bot”을 실행하면, 스스로 압축을 해제 후 Node.js를 사용해 암호화된 JavaScript를 복호화 및 실행한다. Node.js는 플랫폼에 구애 받지 않고 JavaScript 코드를 실행할 수 있게 해주는 프로그램으로 다양한 기능을 지원하는 라이브러리를 내장하고 있기 때문에 “Lu0Bot”은 별도의 외부 소스 없이 다양한 동작을 수행할 수 있다. 다만, 현재 해당 악성코드는 PE 파일로 유포되고 있어 Windows에서만 실행되지만, Node.js의 활용은 Linux 등의 다른.. 2023. 11. 1. Teams를 사용해 유포되는 DarkGate 악성코드 마이크로소프트의 Teams 사용자를 대상으로 유포되는 “DarkGate” 악성코드가 발견됐다. 공격자는 Teams 채팅으로 “휴가 일정 변경” 관련 파일을 전송해 사용자의 다운로드를 유도한다. 해당 압축 파일은 PDF 문서로 위장한 LNK 파일을 포함하고 있으며, LNK 파일은 C&C 서버에서 추가 페이로드를 다운로드해 최종적으로 “DarkGate” 악성코드를 실행한다. “DarkGate”는 C&C 서버와 연결 후 서버에서 수신한 명령에 따라 악성 동작을 수행한다. Teams 채팅에서 다운로드한 압축 파일은 PDF 문서로 위장한 LNK 파일을 포함하고 있으며, [그림 1]과 같이 C&C 서버와 연결하는 VBS 파일을 드롭 후 실행한다. C&C 서버와 연결에 성공하면, 서버로부터 명령어를 수신하고, 해당 .. 2023. 10. 16. 이전 1 ··· 5 6 7 8 9 10 11 ··· 147 다음
