상세 컨텐츠
본문
New Windows malware may soon target Linux, macOS devices
활발히 활동하는 공격 그룹인 AridViper와 관련된 새로운 윈도우용 정보 탈취 소프트웨어가 추후 리눅스와 macOS 환경을 감염시키는데 사용될 가능성이 발견되었습니다.
이 새로운 트로이목마는 Unit42에서 2011년부터 중동의 타깃을 노리는 아랍어를 구사하는 사이버 스파이 그룹인 AridViper(Desert Falcon, APT-C-23으로도 알려짐)의 활동을 조사하던 중 발견하여 PyMICROPSIA라 명명했습니다.
Kaspersky Lab의 연구에 따르면, AridViper는 주로 팔레스타인, 이집트, 터키에서 활동하며 2015년 한 해 동안 3,000명 이상의 피해자를 감염시켰습니다.
코드에서 새로운 공격 벡터 발견돼
PyMICROPSIA는 PyInstaller를 사용해 생성된 윈도우 바이너리를 사용하여 윈도우 시스템만을 노리는 파이썬 기반 악성코드입니다. 하지만 Unit 42에서는 제작자가 멀티 플랫폼을 지원하도록 추가 작업을 하고 있다는 것을 보여주는 코드 스니펫을 발견했습니다.
“PyMICROPSIA는 윈도우 OS만을 공격하도록 설계되었지만, 코드에는 'posix', 'darwin'과 같이 다른 OS를 확인하는 스니펫이 포함되어 있었습니다.”
“예전에 AridViper가 다른 운영 체제를 공격하는 것이 목격된 적이 없으며, 이는 공격자가 새로운 영역을 탐색하고 있다는 점을 나타내기 때문에 꽤 흥미로운 발견입니다."
하지만 이 코드는 악성코드 개발자가 다른 프로젝트의 코드를 복사해 붙여 넣는 과정에서 추가되었을 가능성이 있기 때문에 향후 버전에서 제거될 수 있습니다.
데이터 탈취 및 추가 페이로드 전달
Unit42는 해킹된 기기에서 발견된 악성코드 샘플과 공격자의 명령 및 제어 서버에서 다운로드된 비 파이썬 기반 페이로드를 분석하던 중 발견한 수 많은 트로이목마 기능을 공개했습니다.
이 악성코드가 포함한 기능 중 일부는 아래와 같습니다.
- 파일 업로드
- 페이로드 다운로드 및 실행
- 브라우저 자격 증명 도용 / 검색 기록 및 프로필을 삭제
- 스크린 샷 캡처
- 키 로깅
- 훔친 정보를 RAR 파일로 압축하기
- 프로세스 정보 수집 및 프로세스 종료
- 파일 목록 정보 수집
- 파일 삭제
- 시스템 재부팅
- Outlook .ost 파일 수집 / Outlook 프로세스 종료 및 비활성화
- 파일 및 폴더 삭제, 생성, 압축 및 추출
- USB 드라이브에서 파일 및 정보 수집
- 오디오 녹음
- 명령 실행
PyMICROPSIA는 정보 및 파일 탈취, 윈도우 프로세스, 파일 시스템, 레지스트리 상호작용 등 다양한 목적을 이루기 위해 파이썬 라이브러리를 사용합니다.
GetAsyncKeyState API를 사용하여 구현된 이 트로이목마의 키로깅 기능은 C2 서버에서 다운로드하는 별도 페이로드의 일부입니다.
다운로드된 페이로드는 해킹된 컴퓨터의 윈도우 시작 폴더에 .LNK 바로가기를 드롭하여 지속성을 확보하는데도 사용됩니다.
하지만 PyMICROPSIA는 시스템이 재시작된 후 악성코드를 다시 시작하는 전용 레지스트리 키 설정을 포함한 다른 지속성 방식도 사용하고 있습니다.
현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Agent.Micropsia'로 탐지 중입니다.
출처:
'국내외 보안동향' 카테고리의 다른 글
| 랜섬웨어 공격자들이 RAT, 프록시와 함께 SystemBC 악성코드 사용해 (0) | 2020.12.17 |
|---|---|
| 새로운 Goontact 스파이웨어, 안드로이드 및 iOS 사용자 노려 (0) | 2020.12.17 |
| Gitpaste-12 봇넷, 리눅스 서버와 IoT 기기 노려 (0) | 2020.12.16 |
| Molerats 그룹의 새로운 악성코드, 구글과 페이스북의 서비스 악용해 (0) | 2020.12.15 |
| 구글, 인증 시스템 중단으로 일시적으로 서비스 중단 돼 (0) | 2020.12.15 |
댓글 영역