포스팅 내용

국내외 보안동향

SLoad 파워쉘 악성 스팸, 이탈리아로 확산

The SLoad Powershell malspam is expanding to Italy


최근 새로운 악성 스팸 캠페인이 이탈리아를 공격하고 있습니다. 공격자들은 sLoad라는 강력한 다운로더의 새로운 변종을 확산 중입니다.


sLoad는 정교한 스크립트로 과거 “Ramnit 뱅커”등과 같은 무서운 악성코드 다수를 배포하는데 사용되어 왔습니다.


“CERT-Yoroi는 지난 몇 달 동안 선거구를 대상으로 한 새로운 공격 패턴을 발견했습니다. 이 일련의 악성 메일은 이탈리아의 사이버 세계를 노리는 작전을 시작한 한 공격 그룹과 연관 되어있는 것으로 보이는 일반적인 기술들을 공유했습니다.”


“이러한 공격 시도가 TTP를 변경한 사이버 범죄 그룹에 의한 것인지, 아니면 완전히 새로운 집단의 짓인지는 아직까지 확실하지 않습니다.”


sLoad는 스크린샷을 찍고, 실행 중인 프로세스의 목록을 읽고, DNS 캐시를 추출하고, 아웃룩 이메일을 추출하며 다른 일반적인 스파이웨어 기능들을 포함한 광범위한 기능들을 구현했습니다.


이는 이메일에 첨부 된 zip파일로 확산 됩니다. 이 파일은 아래 2가지 요소를 포함하고 있습니다:


가짜 바로가기 파일(.Ink 파일)

숨겨진 것으로 플래깅 된 정식 이미지


이 이미지가 악성코드의 작업에 사용 되지 않는 것은 의아하지만, 바로가기 파일은 아래와 같은 복잡한 감염 체인을 시작합니다:


<이미지: https://blog.yoroi.company/research/the-sload-powershell-threat-is-expanding-to-italy/>


먼저, .Ink 파일은 첫 번째 Powershell 액티베이터를 실행합니다. 이는 “documento-aggiornato-novembre-*.zip”라는 파일을 찾습니다.


만약 해당 .zip 파일이 존재할 경우, 이 PowerShell 스크립트는 동일한 파일의 끝 부분에 존재하는 코드의 한 부분을 추출 후 실행합니다. PowerShell 스크립트가 추출 되면, 이는 공격 체인에서 후속 드롭퍼 역할을 하는 또 다른 Powershell 스크립트를 실행합니다.


이 ps 코드는 BitsTransfer 윈도우 기능을 악용하여 중요한 파일 2가지를 다운로드 합니다. 이 파일들은 config.ini, web.ini 이며, 최종 sLoad 스테이지를 포함하고 있습니다.


이 악성 코드는 Visual Basic 스크립트를 실행하는 시스템 작업 스케쥴러에 정의 된 테스크를 사용해 지속성을 얻습니다.


마지막으로, sLoad가 시작 되면 이는 일정한 간격으로 스크린샷을 찍고, 시스템 정보를 모으고 기타 다른 데이터를 C&C 서버로 전송합니다.


현재 알약에서는 해당 악성코드에 대해 Trojan.Downloader.PowerShell.Lnk, Trojan.PowerShell.Agent, Trojan.Downloader.Agent로 탐지중에 있습니다. 




출처 : 

https://securityaffairs.co/wordpress/78468/malware/sload-malspam-hit-italy.html

https://blog.yoroi.company/research/the-sload-powershell-threat-is-expanding-to-italy/



티스토리 방명록 작성
name password homepage