전문가들, 콜롬비아 정부 및 기업을 노리는 악성코드 공격 발견

 

 

Experts Uncover Malware Attacks Against Colombian Government and Companies

 

사이버보안 연구원들이 콜롬비아 정부와 기관 및 에너지 및 금속 분야 기업을 노리는 현재 진행중인 스파잉 캠페인에 대해 공개했습니다.

 

지난 화요일 ESET에서 공개한 보고서에 따르면, Slovak 인터넷 보안 회사는 “Operation Spalax”라 명명된 이 공격이 2020년 시작되었으며, 2018년 4월 이후에 해당 국가를 노린 한 APT 그룹과 공격 방식 일부는 유사하지만 다른 점도 있다고 밝혔습니다.

 

 

< 이미지 출처 : https://www.welivesecurity.com/2021/01/12/operation-spalax-targeted-malware-attacks-colombia/>

 

 

이 두 캠페인의 피싱 이메일은 유사한 주제를 사용했습니다. QiAnXin 연구원들이 2019년 2월 발견한 작업에 사용된 것과 동일한 기관에서 발송하는 것으로 위장했습니다. 명령 및 제어(C2) 서버에 사용한 서브 도메인의 이름 또한 일치했습니다.

 

하지만 이 두 캠페인은 피싱 이메일에 사용된 첨부파일, 배포된 원격 액세스 트로이목마(RAT), 악성코드를 가져오는데 사용된 C2 인프라에서 차이를 보였습니다.

 

공격 체인은 타깃이 악성 파일을 다운로드하도록 유도하는 피싱 이메일을 수신하는 것으로 시작됩니다. 이 악성 파일은 OneDrive나 MediaFire에서 호스팅되는 RAR 압축파일로 피해자의 컴퓨터에서 Remcos, njRAT, AsyncRAT 등 다양한 RAT을 복호화 및 실행하는 역할을 맡은 다양한 드롭퍼를 포함하고 있습니다.

 

 

< 이미지 출처 : https://www.welivesecurity.com/2021/01/12/operation-spalax-targeted-malware-attacks-colombia/>

 

 

이 피싱 이메일은 운전 중 위반사항, 법원 청문회 참석, 코로나19 검사 필수 대상자 등 여러 주제를 다루고 있기 때문에 주의가 부족한 사용자가 메시지를 열 가능성이 높습니다.

 

ESET에서 발견한 다른 시나리오에서, 공격자는 셸 코드를 사용하여 페이로드를 해독하고, 이미 실행 중인 프로세스에 이를 주입하는 난독화된 AutoIT 드롭퍼를 사용하는 것으로 밝혀졌습니다.

 

이 RAT은 원격 제어 기능을 제공할 뿐 아니라 키 입력 캡쳐, 스크린샷 기록, 클립보드 데이터 탈취, 민감 문서 추출, 다른 악성코드 다운로드 및 실행 등과 같은 기능도 포함하고 있었습니다.

 

연구원은 아래와 같이 보고서를 결론지었습니다.

 

“콜롬비아 기업을 노린 타깃 악성코드 공격은 작년 공개된 캠페인 이후로 규모가 커졌습니다.”
 
“이들은 2019년 소수의 C2 서버 및 도메인명을 사용하는 캠페인에서 수백 개의 도메인명을 사용하는 매우 크고 빠르게 변화하는 인프라를 사용하는 캠페인으로 개선되었습니다.”

 

현재 이스트시큐리티 알약에서는 해당 악성코드 샘플을 'Backdoor.Agent.MalExe.RS'로 탐지 중입니다. 

 

 

 

 

출처:

https://thehackernews.com/2021/01/experts-uncover-malware-attacks-against.html

https://www.welivesecurity.com/2021/01/12/operation-spalax-targeted-malware-attacks-colombia/