백도어 16

BazaLoader 및 IcedID를 배포하던 그룹의 새로운 Bumblebee 악성코드

최근 “BazaLoader” 및 “IcedID”를 배포하던 사이버 해킹 그룹이 “Bumblebee” 라는 새로운 악성코드를 유포하기 시작했다. 해당 악성코드를 배포하기 위해 공격자는 대상에게 바로 가기 파일과 DLL 파일이 포함된 ISO 파일을 첨부하여 메일을 전송하는 것으로 알려졌다. “Bumblebee” 악성코드는 ISO 파일 내부에 있는 LNK(바로 가기) 파일을 실행하면 정상 프로세스인 “rundll32.exe”를 통해 DLL 파일을 로드하여 실행한다. 실행된 DLL 파일은 감염된 시스템의 권한을 획득하여 사용자의 PC를 원격으로 제어하며 추가 악성코드를 다운로드하고, APC(비동기 프로시저 호출) 인젝션을 통해 실행한다. Analysis “Bumblebee” 악성코드는 ISO 파일로 유포되며 내..

GoDaddy에서 호스팅하는 WordPress 사이트를 노린 백도어

최근, Wordfence의 연구원들이 유명 호스팅 업체 GoDaddy가 호스팅 하는 WordPress 사이트에서 백도어 감염이 급증하는 것을 발견했다. Wordfence는 해당 내용을 확인한 후, GoDaddy가 호스팅 하는 일부 사이트에서 워드 프레스 설정 파일인 wp-config.php 파일이 변조된 정황을 발견했다고 알렸다. 또한, 변조된 설정 파일에는 감염된 사이트가 검색 결과의 최상단에 노출되도록 조작하는 코드와 함께 공격자가 운영하는 C&C 서버에서 악성 링크 템플릿을 다운로드하는 코드가 포함됐다고 언급했다. Wordfence는 GoDaddy에서 호스팅되는 사이트일 경우 wp-config.php 파일을 수동으로 확인하거나, 악성코드 탐지 솔루션을 통해 사이트가 감염되지 않았는지 확인할 것을 권..

전 세계적으로 암호화폐를 가로채는 Twizt 악성코드

"Twizt" 악성코드는 감염 대상 PC의 로컬 네트워크에서 게이트웨이 장치를 검색하고, 해당 장치에 UDP 및 TCP 포트 매핑을 추가해 공격자와 통신한다는 특징이 있다. 이러한 특징으로 인해 해당 악성코드는 공격자의 C&C 서버를 노출하지 않고 사용자의 PC를 제어하거나 추가 페이로드를 다운로드할 수 있다. 또한, 윈도우 클립보드를 공격자의 암호화폐 지갑 주소로 변경하여 사용자의 암호화폐를 가로챈다. Analysis "Twizt"라는 이름은 악성코드가 처음 발견됐을 때 사용된 뮤텍스명에서 따왔다. 해당 악성코드는 실행 시 우선적으로 감염된 PC의 로케일을 확인하여 "UKR(우크라이나)"인 경우 프로세스를 종료한다. 확인을 마치면 지속성을 위해 레지스트리에 등록한다. 이로 인해 사용자가 PC를 부팅하면..

다크웹에서 판매중인 Spectre RAT 악성코드

2017년에 처음 등장한 "Spectre RAT" 악성코드는 2021년 3월경, 해커 포럼에서 판매되기 시작했다. 다크웹에 게시된 판매글에 의하면 "Spectre RAT" 악성코드는 스틸러 기능을 포함하고 있으며 이용자가 원하면 봇넷 동작을 추가할 수 있다. 2021년 9월경 출시되어 현재 판매중인 버전 4의 "Spectre RAT"은 최근 유럽 지역의 PC 사용자를 대상으로 한 피싱 메일 캠페인에 악용된 사례가 존재한다. "Spectre RAT" 악성코드는 악성 매크로가 포함된 문서 파일로 유포되어 매크로가 실행되면 VBS 파일을 드랍한 후 실행한다. 그 후, 공격자의 C&C 서버에서 로더 파일을 다운로드한다. 다운로드된 로더는 파일 내부에 암호화된 페이로드를 복호화한 후 로더 파일의 메모리에서 실행시..

동아시아 IT 기업을 공격하는 WinDealer 악성코드

LuoYu 해킹 그룹은 2014년에 처음 등장하여 2017년도 까지는 한국을 포함해 중국, 홍콩, 일본, 대만 등 동아시아 지역의 IT 산업을 대상으로 공격을 시도했다. 하지만 2017년도부터 IT 기업뿐만 아니라 교육 서비스 직종 및 미디어 기업과 같은 업종을 공격 대상에 포함시켰다. 해당 해킹 그룹은 Mac, Linux, Windows 및 Android 시스템을 대상으로 하며 "WinDealer" 뿐만 아니라 "ReverseWindow", "SpyDealer"과 같은 악성코드도 함께 사용한다. "WinDealer" 악성코드는 특정 폴더에 존재하는 데이터 파일들을 이용하여 공격자의 C&C 서버 정보 및 공격자가 필요로 하는 특정 정보를 읽어온다. 최종적으로 "WinDealer" 악성코드 내부에 하드코딩..

APT41 그룹의 Stealth 로더와 ScrambleCross 백도어

중국어를 구사하는 사이버 범죄 그룹 APT41은 2018년에 처음 등장했으며 "SideWalk" 또는 "Earth Baku"라는 명칭으로 사용되기도 한다. 해당 그룹은 주로 북미, 동남아시아의 IT 산업을 타겟으로 공격하고 있으며 최근 글로벌 항공 IT 제공 업체 SITA가 APT41의 공격을 받아 대규모 고객 정보가 유출된 사건이 있었다. APT41의 첫 등장 당시, 오픈 소스 악성코드인 "LavagokLdr" 로더를 이용해 "CrossWalk" 악성코드를 실행했다. 2020년부터 해당 APT 그룹은 "StealthMutant" 와 "StealthVector" 로더를 제작하여 자신들의 공격 루틴을 구축했으며 현재까지 해당 악성코드로 인한 많은 피해 사례가 등장하고 있다. 본 보고서에서 설명하는 것은 A..

항공 우주 통신 산업체를 타겟으로 공격하는 Novel RAT

최근 중동 지역의 항공 우주 통신 산업체를 표적으로 공격하는 "Novel RAT"이 발견됐다. "Novel RAT"의 배후로 "MalKamak"이라는 명칭을 사용하는 이란의 해커가 식별됐으며 추가적으로 미국, 러시아, 유럽 등의 피해가 밝혀졌다. 해당 악성코드는 코드 내부에 버전 정보가 저장되어 있으며 2018년에 처음 등장한 것으로 추정된다. 현재까지 지속적인 버전 패치를 통해 2021년 10월에 ‘4.0’ 버전까지 출시된 것으로 확인된다. "Novel RAT" 악성코드는 Microsoft에서 제작된 정상 프로그램으로 위장하여 유포된다. 또한, '4.0' 이전 버전은 파일 내부에 지정된 공격자의 C&C 서버와 연결하며 '4.0' 및 이후 버전부터 웹 기반의 파일 공유 서비스인 "Dropbox"의 기능을..

전 세계 호텔을 주 타겟으로 공격하는 FamousSparrow 그룹

최근 브라질, 남아프리카 공화국, 캐나다, 태국 등 전 세계의 호텔을 대상으로 한 맞춤형 백도어 "SparrowDoor"가 등장했으며 "FamousSparrow" 사이버 공격 그룹에서만 단독적으로 사용하는 백도어로 밝혀졌다. 해당 악성코드는 'MS Exchange Server', 'MS SharePoint' 및 'Oracle Opera'의 취약점을 악용하여 유포되기 시작했으며 이 중 'Oracle Opera'는 호텔 관리용으로 자주 사용되는 시스템이다. 아래의 링크는 자사의 [최신 보안 동향] 카테고리에 게시된 "FamousSparrow" 관련 기사이다. 2021.09.24 - [최신 보안 동향] - 전세계를 표적으로 활동하는 FamousSparrow 'SparrowDoor' 악성코드는 보안 프로그램으로..

전세계를 표적으로 활동하는 FamousSparrow

최근 유럽과 중동, 아시아 등을 표적으로 하는 FamousSparrow 해커 그룹이 발견되었다. 해당 해커 그룹은 슬로바키아의 보안 회사 ESET에 의해 발견되었으며, 2019년부터 활동한 것으로 추정된다. 이 그룹은 ProxyLogon으로 알려진 Microsoft Exchange 취약점을 비롯하여, MS SharePoint 원격 코드 실행 취약점을 악용하며, 사용자 PC에 SparrowDoor 백도어를 설치하여 악성동작을 수행한다. SparrowDoor는 FamousSparrow 그룹에서만 사용하는 백도어로 알려졌으며, Mimikatz 변종과 함께 유포되었다. 사진 출처: ESET 출처 [1] ESET (2021.09.24) – FamousSparrow: A suspicious hotel guest h..

러시아를 표적으로 하는 Konni RAT 악성코드 변종 등장

"Konni RAT"은 2014년에 처음으로 등장하여 2017년 7월경, 북한 정부가 미사일 시험 발사 이후 "Konni RAT" 악성코드 공격을 받은 사례가 있다. 최근 해당 악성코드의 변종이 러시아를 공격 타겟으로 하여 매크로가 적용된 문서 파일이 유포되고 있다. 또한, 현재 러시아 외에도 한국, 일본, 네팔, 몽골, 베트남 등에서 피해사례가 등장하고 있어 주의해야 한다. "Konni RAT"은 백신 프로그램 탐지 우회하기 위한 기법들이 적용되었으며 문서 파일에 JS 파일 및 Powershell 실행 파일을 숨겨두어 실행되도록 했다. 최종적으로 서비스에서 실행되는 페이로드는 사용자 PC의 정보를 탈취하고, 공격자의 서버에서 명령을 받아 원격으로 제어한다. 1. 파일 드랍 (문서 파일) 이전에 유포된 ..