상세 컨텐츠

본문 제목

Agent Tesla 악성코드, 새로운 배포 및 회피 기술 사용해

국내외 보안동향

by 알약4 2021. 2. 3. 14:07

본문

 

 

Agent Tesla Malware Spotted Using New Delivery & Evasion Techniques

 

지난 화요일 보안 전문가들이 Agent Tesla 원격 액세스 트로이목마(RAT)가 방어 장치를 우회하고 피해자를 모니터링 하기 위해 추가한 새로운 배포 및 회피 기술을 발견했습니다.

 

이 윈도우용 스파이웨어는 주로 소셜 엔지니어링 관련 미끼를 사용하며, 엔드포인트 보안 소프트웨어를 우회하기 위해 마이크로소프트의 AMSI(Antimalware Scan Interface)를 노릴 뿐 아니라 다단계 설치 프로세스를 사용하고 Tor 및 텔레그램 메시징 API를 사용하여 C2 서버와 통신합니다.

 

사이버 보안 회사인 Sophos는 현재 진행 중인 공격에 사용되고 있는 Agent Tesla의 버전 2 3을 발견했다고 밝혔습니다.

 

연구원들은 이러한 변경 사항에 대해 Agent Tesla가 샌드박스 및 정적 분석을 더욱 어렵도록 하기 위해 지속적으로 진화하고 있다는 신호라 말했습니다.

 

Sophos의 연구원은 아래와 같이 밝혔습니다.

 

“Agent Teslav2v3의 차이점은 샌드박스 방어 및 악성코드 스캐너에 대한 악성코드의 성공률을 높이고, 공격자 고객에게 더 많은 C2 옵션을 제공하는데 초점을 맞춘 것으로 보입니다.”

 

.NET 기반 키로거와 정보 스틸러인 Agent Tesla2014년 말부터 여러 공격에 사용되었습니다. 시간이 지남에 따라 피해자의 키보드 입력 모니터링 및 수집, 스크린샷 촬영, VPN 클라이언트/FTP/이메일 클라이언트/웹 브라우저 등 다양한 소프트웨어의 자격 증명을 훔치는 등의 기능을 추가했습니다.

 

 

<이미지 출처 : https://news.sophos.com/en-us/2021/02/02/agent-tesla-amps-up-information-stealing-attacks/>

 

 

이는 코로나19 팬데믹이 한창이었던 지난 5월 코로나19를 주제로 한 스팸 캠페인을 통해 악성코드를 확산시켰으며, 대상 시스템에서 Wi-Fi 비밀번호, 아웃룩 이메일 자격 증명 등 여러 정보를 탈취했습니다.

 

이후 20208, Agent Tesla의 두 번째 버전은 자격 증명 탈취 대상 애플리케이션의 수를 55개로 확장시켰으며, 그 결과는 SMTP 또는 FTP를 통해 공격자가 제어하는 서버로 전송되었습니다.

 

SMTP를 통해 공격자가 제어하는 메일 서버로 정보를 전송하는 방식은 2018년 발견되었지만, 새로운 버전 중 하나는 HTTP 통신을 위해 Tor 프록시를 이용하였으며, 메시징 앱인 텔레그램의 API를 통해 개인 채팅방으로 해당 정보를 전달한 것으로 나타났습니다.

 

이 외에도, Agent Tesla1단계 다운로더가 가져온 악성 페이로드의 스캔을 건너뛰도록 하기 위해 AMSI의 코드를 수정하려 시도했습니다. 이후 Pastebin(또는 Hastebin)에서 Agent Tesla 악성코드의 로더 역할을 하는 난독화된 base64 인코딩 코드를 가져왔습니다.

 

AMSI는 애플리케이션 및 서비스를 기존 안티 바이러스 제품과 통합시킬 수 있도록 하는 인터페이스 표준입니다.

 

또한 지속성을 확보하기 위해 악성코드는 자신을 폴더에 복사하고 해당 폴더의 속성을 숨김시스템으로 설정하여 윈도우 탐색기에서 숨길 수 있었던 것으로 나타났습니다.

 

SophosAgent Tesla가 가장 많이 사용하는 배포 방식은 악성 스팸이라고 밝혔습니다.

 

Agent Tesla는 이메일을 통해 배포 시 종종 도용된 합법 계정을 사용합니다. 항상 알 수 없는 발신자가 보낸 이메일 첨부파일에 주의하고, 오픈하기 전 첨부파일을 확인해야 합니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Spyware.AgentTesla', 'Trojan.Agent.Woreflint'로 탐지 중입니다. 

 

 

 

 

 

출처:

https://thehackernews.com/2021/02/agent-tesla-malware-spotted-using-new.html

https://news.sophos.com/en-us/2021/02/02/agent-tesla-amps-up-information-stealing-attacks/

저작자표시 비영리 변경금지

'국내외 보안동향' 카테고리의 다른 글

중국 연계 해커, SolarWinds 취약점 통해 미 국립 금융 센터에 침투해  (0) 2021.02.04
크롬 및 엣지의 악성 확장 프로그램, 수백 만 구글 검색 결과 가로채  (0) 2021.02.04
랜섬웨어, 가상 머신 디스크를 암호화하기 위해 VMWare ESXi 취약점 악용해  (0) 2021.02.03
구글, Libgcrypt 암호화 라이브러리의 심각한 취약점 공개  (0) 2021.02.02
해커 그룹, NoxPlayer 안드로이드 에뮬레이터에 악성코드 삽입해  (0) 2021.02.02

관련글 더보기

댓글 영역

티스토리툴바