상세 컨텐츠

본문 제목

패스워드를 탈취하고 랜섬웨어를 확산시키는 악성코드 발견

국내외 보안동향

by 알약(Alyac) 2019. 12. 3. 10:23

본문

This trojan malware is being used to steal passwords and spread ransomware


의료 및 교육 업계를 노리는 새로운 해킹 캠페인이 발견되었습니다. 


공격자들은 모니터링 및 민감 정보 탈취 등의 목적으로 윈도우 시스템의 거의 모든 기능을 제어할 수 있는 맞춤형 파이썬 기반 악성코드를 사용합니다. 


PyXie RAT이라 명명된 이 RAT은 키로깅, 크리덴셜 수집, 영상 녹화, 쿠키 탈취, 중간자 공격 실행 및 감염된 시스템에 다른 악성코드 배포하는 등 많은 기능을 가지고있습니다.


이 악성코드는 의심스러운 행동으로 발생한 증거를 삭제하여 백신 탐지를 우회합니다. 


Blackberry Cylance의 사이버 보안 연구원들은 이 공격을 추적하여 PyXie라 명명했습니다. 컴파일된 코드가 파이썬 관련 파일에 일반적으로 사용되는 ‘.pyc’가 아닌 ‘.pyx’ 파일 확장자를 사용하는 데서 따왔습니다.


PyXie RAT은 최소 2018년부터 활동해왔으며, 오랜 기간 동안 많은 리소스를 투자해 개발된 것으로 보입니다.


이 악성코드는 피해자를 해킹하기 위해 합법적인 프로그램을 활용하는 사이드로딩 기술을 사용합니다. 연구원들이 발견한 애플리케이션들 중 하나는 오픈 소스 게임의 악성코드화 된 버전이었습니다. 이 앱을 다운로드하면 PowerShell을 통해 권한을 상승시키고 기기 내에서 지속성을 얻은 후 은밀히 악성 페이로드를 설치합니다.


다단계 다운로드의 세 번째 단계에서 PyXie RAT 코드는 ‘코발트 모드’를 사용하여 C&C 서버에 연결하고 최종 페이로드를 사용합니다.


이 단계에서는 악성코드 설치를 위해 정식 침투 테스팅 툴인 Cobalt Strike를 다운로드하는데, 이는 공격자들이 공격의 난이도를 더 높이기 위해 종종 사용하는 방법입니다.


이 다운로더는 Shifu 뱅킹 악성코드를 다운로드하는데 사용되는 다른 다운로더와 유사합니다. 하지만 이는 공격자가 그들의 코드를 재포장할 목적으로 오픈소스 코드 또는 훔친 코드를 재사용한것일 가능성이 있습니다.


타깃 시스템에 성공적으로 설치 되면, 공격자들은 시스템 내를 활보하며 원하는 명령을 구현할 수 있습니다. 연구원들은 PyXie가 계정명과 패스워드를 포함해 시스템에 침투하기 위한 모든 정보를 훔치는 것 이외에도 해킹 된 네트워크에 랜섬웨어를 배포한 사례를 발견했다고 밝혔습니다.


연구원들은 현재까지 의료 및 교육 업계 조직 30곳 이상이 이 악성코드의 공격을 받은 것을 확인했으며, 감염된 기기의 수는 수백 대에 달한다고 밝혔습니다.


PyXie RAT의 배후에 있는 공격자가 누구인지는 밝혀지지 않았으며, 이 캠페인은 현재까지도 진행 중입니다.


현재 알약에서는 해당 악성코드에 대하여 Trojan.Python.PyXieRAT로 탐지중에 있습니다. 



출처 :

https://www.zdnet.com/article/this-trojan-malware-is-being-used-to-steal-passwords-and-spread-ransomware/

https://threatvector.cylance.com/en_us/home/meet-pyxie-a-nefarious-new-python-rat.html

관련글 더보기

댓글 영역