포스팅 내용

국내외 보안동향

브라우저 데이터를 훔치고, 백도어를 오픈하는 새로운 Jupyter 악성코드 발견

New Jupyter malware steals browser data, opens backdoor

 

러시아어를 구사하는 해커가 새로운 악성코드를 사용해 사용자의 정보를 훔쳐온 것으로 나타났습니다. Jupyter라 명명된 이 새로운 공격은 오랫동안 발견되지 않았으며 개발 주기가 매우 빨랐습니다.

 

Jupyter의 목적은 다양한 소프트웨어의 데이터를 수집하는 것입니다. 전달을 지원하는 악성코드를 통해 감염된 시스템에 백도어를 생성하는 것도 가능했습니다.

 

인스톨러, 6개월 동안 탐지 회피해

 

이 악성코드 변종은 지난 10월 미국의 한 대학에서 사고 대응 중 발견되었습니다. 하지만 포렌식 데이터에 따르면 이전 버전은 지난 5월부터 배포되어 온 것으로 나타났습니다.

 

사이버 보안 회사인 Morphisec의 연구원들은 이 공격 키트의 개발자가 매우 활발히 활동하고 있으며, 일부 컴포넌트는 한 달에 9회 이상이나 업데이트한다는 것을 발견했습니다.

 

가장 최신 버전은 11월 초 생성되었지만 변경 사항은 포함하고 있지 않았습니다. 코드를 지속적으로 수정할 경우 Jupyter는 탐지를 피하고 해킹된 시스템에서 더욱 많은 데이터를 수집할 수 있게 됩니다.

 

Jupyter.NET 기반이며 크로미움, 모질라 파이어폭스, 구글 크롬 웹 브라우저에서 쿠키, 자격 증명, 인증서, 자동 완성 정보 등의 데이터를 훔칩니다.

 

스틸러 확산은 정식 소프트웨어로 위장한 인스톨러(Inno Setup 실행파일)ZIP 압축파일 형태로 다운로드하는 것으로 시작됩니다.

 

Morphisec에 따르면 이러한 인스톨러 중 일부는 VirusTotal 스캐닝 플랫폼에서 지난 6개월 동안 전혀 탐지되지 않았습니다.

 

 

<이미지 출처: Morphisec>

 

 

이 인스톨러는 프로세스 하울링 기술을 통해 명령 및 제어 서버의 클라이언트 역할을 하는 .NET 로더를 프로세스 메모리에 삽입했습니다.

 

이후 클라이언트는 메모리 내 Jupyter .NET 모듈을 실행하는 다음 단계 파워셸 명령을 다운로드합니다.”

 

개발자는 이후 버전의 인스톨러에서는 메모리 내에서 실행되기 위해 프로세스 하울링이 아닌 파워셸 명령으로 전략을 바꾸었습니다.

 

이러한 모든 기능을(C2 클라이언트, 악성코드 다운로드/실행, PowerShell 스크립트, 명령, 프로세스 하울링 기술) 통해 확장된 백도어 기능을 사용할 수 있게 됩니다.

 

Morphisec은 초기 인스톨러가 아래 이름을 사용하는 마이크로소프트 워드 문서로 위장한다고 밝혔습니다.

 

The-Electoral-Process-Worksheet-Key.exe

Mathematical-Concepts-Precalculus-With-Applications-Solutions.exe

Excel-Pay-Increase-Spreadsheet-Turotial-Bennett.exe

Sample-Letter-For-Emergency-Travel-Document

 

합법적인 미끼인 침투 테스트 툴킷

 

이 인스톨러는 Docx2Rtf, Magix Photo Manager와 같은 합법적인 툴을 사용하여 백그라운드에 PowerShell 스크립트 2개를 드롭합니다.

 

초기 인스톨러의 최신 버전은 침투 테스트에 사용되는 PoshC2 프레임워크를 사용해 바로가기 LNK 파일을 생성해 시작 폴더에 배치하여 컴퓨터에 대한 지속성을 얻습니다.

 

 

<이미지 출처: Morphisec>

 

 

러시아와의 연결성

 

연구원들은 많은 C2 Jupyter 서버가 러시아에 위치하고 있다고 밝혔습니다. 이 중 많은 서버가 현재 비활성화된 상태입니다.

 

또한 연구원들은 오타가 포함된 ‘Jupyter’라는 이름이 러시아어에서 변환된 것을 발견했습니다.

 

또한 Jupyter의 관리자 패널에 대해 역 이미지 검색을 실행한 결과, 러시아어 포럼이 포함된 결과를 볼 수 있었습니다.

 

 

<이미지 출처: Morphisec>

 

 

Morphisec은 이 인포스틸러가 지속적으로 개발되는 이유는 탐지되지 않도록 하기 위한 새로운 요소를 추가하기 때문인 것으로 보인다고 밝혔습니다. 또한 개발자들은 공격 타깃 정보의 범위를 확장할 수도 있습니다.


현재 알약에서는 해당 악성코드 샘플을 'Trojan.MSIL.Polazer'로 탐지 중입니다.