로더 3

인기 프로그램 크랙버전으로 위장하여 유포되는 PrivateLoader 캠페인

2021년 5월경 처음 등장한 "PrivateLoader" 캠페인이 인기 프로그램의 크랙버전으로 위장하여 유포되기 시작했다. 해당 악성코드는 'PPI(Pay-Per-Install) 악성코드 서비스'로 공격자가 불특정 다수의 타겟을 지정하여 악성코드를 유포할 수 있다. 'PPI 악성코드 서비스'란 악성코드 제작자가 고객(악성코드 의뢰인)이 원하는 페이로드를 다운로드 사이트에 정상 프로그램으로 위장하여 유포하고, 피해자가 해당 파일을 다운로드하여 실행할 때 고객에게 금전을 지불받는 형식의 서비스이다. "PrivateLoader" 악성코드 캠페인은 주로 백신 프로그램의 크랙 버전으로 위장되어 다운로드 사이트에 게시된다. 해당 파일을 피해자가 다운로드한 후 설치 파일을 통해 "Raccoon", "Redline"..

APT41 그룹의 Stealth 로더와 ScrambleCross 백도어

중국어를 구사하는 사이버 범죄 그룹 APT41은 2018년에 처음 등장했으며 "SideWalk" 또는 "Earth Baku"라는 명칭으로 사용되기도 한다. 해당 그룹은 주로 북미, 동남아시아의 IT 산업을 타겟으로 공격하고 있으며 최근 글로벌 항공 IT 제공 업체 SITA가 APT41의 공격을 받아 대규모 고객 정보가 유출된 사건이 있었다. APT41의 첫 등장 당시, 오픈 소스 악성코드인 "LavagokLdr" 로더를 이용해 "CrossWalk" 악성코드를 실행했다. 2020년부터 해당 APT 그룹은 "StealthMutant" 와 "StealthVector" 로더를 제작하여 자신들의 공격 루틴을 구축했으며 현재까지 해당 악성코드로 인한 많은 피해 사례가 등장하고 있다. 본 보고서에서 설명하는 것은 A..

피싱 캠페인을 통해 발견된 Snip3 악성코드 로더

Microsoft는 새로운 악성코드 로더를 사용하여 다양한 RAT 악성코드를 배포한 스피어 피싱 캠페인에 대해 경고하였다. 공격자들은 항공우주 및 여행 업체를 대상으로 피싱 이메일을 보냈으며, 이메일에 첨부된 가짜 PDF 파일을 다운로드하도록 유도하여 악성코드를 유포하였다. 새로 발견된 악성코드 로더는 Morphisec의 연구원에 의해 Snip3 라는 이름으로 명명되었으며, 해당 로더를 통해 Revenge RAT, AsyncRAT, Agent Tesla 및 NetWire RAT 등의 악성코드를 실행한다. 사진 출처 : https://twitter.com/MsftSecIntel/status/1392219299696152578 출처 [1] Bleeping Computer (2021.05.13) - Micro..