백도어32 윈도우 서비스로 위장한 Sagerunex 백도어 최근 동남아시아 지역의 공공 및 국방 기관을 대상으로 Sagerunex 백도어를 유포하는 캠페인이 발견됐다. 해당 백도어는 2012년부터 유포되던 Elise 백도어를 시작으로 기능을 개선 및 추가하는 등 지속적으로 업그레이드해 Evora, Sagerunex 순으로 발전돼 왔다. 또한 여러 공격 사례에서 Sagerunex 백도어의 C&C 서버 연결 방식에 따른 다양한 변종이 발견되고 있다. 캠페인에서 공격자는 정상 서비스인 swprv의 DLL 파일로 위장한 로더 악성코드를 윈도우 폴더에 저장하고 서비스 DLL의 경로가 저장된 레지스트리를 로더의 저장 위치로 수정한다. 이후 공격자가 swprv 서비스를 재시작하거나 시스템을 재부팅해 해당 서비스가 로더의 ServiceMain 함수를 호출하도록 유도하며 로더.. 2025. 5. 20. 러시아 해킹그룹 FIN7, AnubisBackdoor 유포 최근 러시아 해킹그룹 FIN7이 제작한 파이썬 스크립트 기반의 AnubisBackdoor가 발견됐다. FIN7은 Savage LadyBug나 CarbonSpider라고도 불리며 은행과 미디어 등 여러 업체를 대상으로 공격해왔다. 근래에는 REvil 랜섬웨어를 사용하고 RaaS로 DarkSide 랜섬웨어를 판매했으며 2024년 7월에는 취약한 드라이버 파일로 보안 프로그램을 종료하는 AvNeutralizer를 제작 및 판매하는 정황도 발견됐다. 이번에 발견된 AnubisBackdoor는 FIN7이 제작한 새로운 백도어로 피싱 캠페인에서 유포된 ZIP 파일 내의 다른 정상 파일과 함께 들어있다. 이 악성코드는 Base64 인코딩, AES 암호화 및 모양이 유사한 문자를 이용해 난독화한 것이 특징이다. 복호화.. 2025. 5. 20. 메모리 패치를 이용해 탐지를 회피하는 SweatRAT 메모리 패치를 이용해 보안 소프트웨어의 탐지를 회피하는 SweatRAT 악성코드가 발견됐다. 해당 악성코드는 윈도우 이벤트 기록 함수 EtwEventWrite와 AMSI(Antimalware Scan Interface) 관련 함수 AmsiScanBuffer의 시작 코드를 수정해 탐지를 우회한다. 또한, SweatRAT는 프로세스 할로잉을 이용해 정상 프로세스로 위장한 후 공격자가 운영하는 C&C 서버와 통신해 키로깅, 원격 제어 및 추가 파일 실행 등의 동작을 수행한다. 동작 순서SweatRAT은 파이썬 스크립트를 PyInstaller로 패키징한 실행 파일인 “_OneDrive.exe”로 유포되며 실행 시 파일 내부에 저장된 PE 데이터를 디코딩한 후 .NET Assembly로 실행한다. 이후, 시작 프.. 2025. 4. 11. Teams 설치 파일로 위장한 Oyster 백도어 최근 마이크로소프트의 Teams 설치 프로그램으로 위장해 유포되는 “Oyster” 백도어가 발견됐다. 공격자는 파일 아이콘과 파일 이름을 정상 설치 파일인 척 위장해 사용자의 다운로드와 실행을 유도한다. 그 후, 사용자가 실행한 해당 악성코드는 “Oyster” 백도어와 정상 파일을 드롭하고 실행하며 설치 과정을 보여줌과 동시에 감염된 PC 정보 수집과 공격자의 C&C 서버 통신 등의 악성 동작을 수행한다. Oyster 드롭퍼마이크로소프트의 Teams 설치 프로그램으로 위장한 악성코드를 실행하면 '%temp%' 경로에 2개의 파일을 드롭한다. 드롭한 파일 중 "CleanUp30.dll"은 "rundll32.exe”로 "Test" 함수를 호출해 실질적인 백도어 동작을 수행하며, "MSTeamsSetup_c_.. 2024. 9. 24. 문서 파일로 위장한 SugarGh0st RAT 최근 “Gh0st RAT”의 변종인 “SugarGh0st RAT” 악성코드가 한국과 우즈베키스탄을 대상으로 유포된 정황이 발견됐다. 해당 악성코드 PDF 또는 DOC 문서로 위장한 LNK 파일로 유포되며, 실행하면 미끼 문서를 띄워 정상 파일인 것처럼 사용자를 속인 후, 감염된 PC에서 정보 수집, 키로깅, 화면 캡처 및 리버스 쉘 등을 포함한 다양한 공격을 수행한다. “SugarGh0st RAT” 악성코드는 [그림 1]과 같이 한국어 또는 우즈베크어로 작성된 미끼 문서를 띄워 정상 파일인 것처럼 사용자를 속이고, 백그라운드에서 악성 동작을 수행한다. 문서로 위장한 LNK 파일은 “%TEMP%” 폴더에 자바 스크립트 파일을 드롭 및 실행한다. 자바 스크립트는 [그림 3]과 같이 난독화가 적용돼 있으며, .. 2023. 12. 14. 미국 적십자를 사칭하는 AtlasCross 백도어 악성코드 AtlasCross라는 새로운 APT 해커 그룹이 미국 적십자를 사칭해 피싱 메일로 백도어 악성코드를 배포하는 캠페인이 발견됐다. 보안업체 NSFOCUS에 의하면 AtlasCross 측은 헌혈 캠페인에 참여할 것을 요청하는 피싱 메시지를 사용자에게 보낸다. 해당 메시지에는 워드 문서 첨부 파일이 포함돼 있으며 첨부 파일을 설치하면 악성 매크로가 실행된다. 매크로는 Windows 장치에서 ZIP 아카이브를 추출해 DangerAds 시스템 프로파일러 및 맬웨어 로더를 실행한다. 이후 Microsoft Office Updates 라는 스케쥴러를 생성하고 3일동안 DangerAds를 실행해 호스트 환경을 확인한다. 만약 시스템의 사용자 이름이나 도메인 이름에 특정 문자열이 있는 경우 내장된 쉘코드를 실행해 최종.. 2023. 10. 4. 이전 1 2 3 4 5 6 다음
