백도어32 태국을 대상으로 유포되는 Yokai 백도어 Yokai 백도어는 2024년 12월 처음 등장했으며 태국을 대상으로 미국 법무부 및 협력 요청 등의 문서로 위장한 LNK 파일 형태로 유포됐다. 해당 LNK 파일의 ADS(Alternate Data Stream) 영역에 Yokai 백도어가 포함돼 있었으며 LNK 파일 실행 시 ADS 영역에서 악성 파일을 추출한 후 DLL 사이드로딩을 이용해 실행하는 방식이 사용됐다. 2025년 8월에는 Yokai 백도어 유포에 SnakeDisk라는 USB 웜 악성코드가 사용되기도 했다. ADS를 이용한 방식과 SnakeDisk로 유포되는 두 가지 방식 모두 정상적인 EXE 파일에 DLL 형태의 Yokai 백도어를 DLL 사이드로딩을 이용해 실행하는 공통점을 가지고 있으며 해당 EXE 파일과 DLL 파일을 전달하는 과정.. 2025. 12. 24. DLL 사이드 로딩으로 실행하는 ToneShell 백도어 ToneShell은 백도어 악성코드로 2022년 말에 처음 발견됐으며 주로 동남아시아 지역을 대상으로 삼으며 올해 7월까지 공격에 사용됐다. 이 보고서에서 분석할 샘플은 가장 최근에 등장한 ToneShell 샘플 3종을 대상으로 한다. ToneShell은 DLL 파일 형태로 정상 파일과 함께 압축 파일 형태로 유포돼 DLL 사이드로딩으로 실행되며 공격자의 C&C 서버에서 수신되는 명령어와 C&C 서버와 통신할 때에 사용되는 데이터 암호화 키 생성 방식이 조금씩 변경돼왔다. 이 악성코드는 RAR 아카이브 파일로 유포되며 사용자에게 압축 파일 내부의 run.bat 파일 실행을 유도한다. run.bat 파일은 함께 압축돼있던 정상 파일에 인자 값을 지정해 실행하며 이때 같은 경로 내의 악성 DLL인 Tone.. 2025. 12. 24. 중국 해커그룹 Mustang Panda, Pubload 백도어 유포 Pubload 악성코드는 2022년 2월 처음 등장해 Bespoke Stager라는 이름으로 보고됐으며 러시아 및 유럽을 대상으로 우크라이나 분쟁과 NATO 관련 보고서로 위장해 유포됐다. 문서 파일로 위장한 EXE를 실행하면 DLL 사이드로딩 방식을 활용해 Pubload가 로드되고 공격자의 C&C 서버와 통신해 악성 동작을 수행한다. 이후에도 Pubload는 지속적으로 다양한 Mustang Panda의 활동에서 발견됐으며 유포 방식은 대부분 국제적인 이슈를 다루는 보고서 및 문서로 위장하는 형태를 채택하고 있다. Pubload는 실행 시 입력된 파라미터가 특정 문자열(ex - “EdgeBLA”)와 비교해 일치하지 않으면 EXE 및 DLL 파일을 ProgramData 경로에 복사하고 Run 레지스트리.. 2025. 12. 24. BQTLock 랜섬웨어 변종 발견 올해 7월에 새로 등장한 BQTLock 랜섬웨어의 변종이 추가로 발견됐다. 외신 보도에 따르면 해당 랜섬웨어는 친팔레스타인 해커 그룹으로 알려진 Liwaa Mohammed와 관련있으며 ZerodayX라는 공격자가 제작한 것으로 전해진다. 공격자는 자신이 운영하는 X 계정에 공격 기업 정보와 보안 업체 분석 보고서를 게시하고 이어서 BQTLock 랜섬웨어의 리눅스 버전과 유출된 자료를 검색할 수 있는 BAQIYAT.osint 도구 공개도 예고했다. BQTLock 랜섬웨어의 변종에는 안티디버깅과 정보 탈취 및 UAC 우회 기능이 추가됐으며 이 외에는 기존 버전과 동일하게 오픈 소스 기반 OpenSSL 라이브러리로 파일 암호화를 수행하고 보안 프로그램 관련 프로세스를 종료한다. 또한 Explorer.exe를.. 2025. 9. 19. Github에 공개된 CyberEye RAT 빌더 최근 Github에 CyberEye RAT을 제작하는 빌더가 공개됐다. 빌더 제작자는 교육적인 목적으로 공개했으며 본 의도와 다르게 사용될 시 모든 행위 및 손해에 대해 책임지지 않는다고 공지했다. 하지만 사용자 친화적인 GUI 환경의 빌더로 보다 손쉽게 악용될 수 있으며 윈도우 디펜더 비활성화와 부트 섹터 변조 등의 시스템에 큰 영향을 끼칠 수 있는 기능이 존재해 자사 및 타 보안 업체에서 악성코드로 분류하고 있다. 현재 공개된 빌더 버전은 v.1.0.1이며 텔레그램 연결 테스트와 파일 생성 로그 출력 기능이 추가됐다. 빌더로 생성한 CyberEye RAT은 설정된 옵션에 따라 관리자 권한 실행, 안티 VM 및 클립보드 하이재킹 등의 동작을 수행한다. 그리고 텔레그램 봇 토큰값과 ChatID를 이용해 .. 2025. 8. 29. 소프트웨어 설치 파일로 위장한 Sainbox RAT 최근 중국 해킹그룹 Silver Fox가 Gh0st RAT의 변종인 Sainbox RAT 악성코드를 소프트웨어 설치 파일로 위장해 유포하는 캠페인이 발견됐다. 2024년 6월에 등장한 Silver Fox는 의료 소프트웨어 DICOM에 ValleyRAT 페이로드를 심어 의료 시설을 공격했으며 2025년 2월에는 취약한 드라이버를 활용한 BYOVD(Bring-Your-Own-Vulnerable-Driver) 공격을 사용한 정황도 발견됐다. 이번에 발생한 피싱 캠페인에서는 Sainbox RAT을 MSI 파일 형식의 소프트웨어 설치 프로그램으로 위장해 유포하며 실제 소프트웨어 설치를 진행해 사용자를 속이고 백그라운드에서 악성코드를 실행한다. DLL Side-Loading최초 유포 파일인 MSI 파일을 실행하면 .. 2025. 7. 25. 이전 1 2 3 4 ··· 6 다음
