상세 컨텐츠

본문 제목

Agent Tesla 악성코드, 새로운 배포 및 회피 기술 사용해

국내외 보안동향

by 알약4 2021. 2. 3. 14:07

본문

 

 

Agent Tesla Malware Spotted Using New Delivery & Evasion Techniques

 

지난 화요일 보안 전문가들이 Agent Tesla 원격 액세스 트로이목마(RAT)가 방어 장치를 우회하고 피해자를 모니터링 하기 위해 추가한 새로운 배포 및 회피 기술을 발견했습니다.

 

이 윈도우용 스파이웨어는 주로 소셜 엔지니어링 관련 미끼를 사용하며, 엔드포인트 보안 소프트웨어를 우회하기 위해 마이크로소프트의 AMSI(Antimalware Scan Interface)를 노릴 뿐 아니라 다단계 설치 프로세스를 사용하고 Tor 및 텔레그램 메시징 API를 사용하여 C2 서버와 통신합니다.

 

사이버 보안 회사인 Sophos는 현재 진행 중인 공격에 사용되고 있는 Agent Tesla의 버전 2 3을 발견했다고 밝혔습니다.

 

연구원들은 이러한 변경 사항에 대해 Agent Tesla가 샌드박스 및 정적 분석을 더욱 어렵도록 하기 위해 지속적으로 진화하고 있다는 신호라 말했습니다.

 

Sophos의 연구원은 아래와 같이 밝혔습니다.

 

“Agent Teslav2v3의 차이점은 샌드박스 방어 및 악성코드 스캐너에 대한 악성코드의 성공률을 높이고, 공격자 고객에게 더 많은 C2 옵션을 제공하는데 초점을 맞춘 것으로 보입니다.”

 

.NET 기반 키로거와 정보 스틸러인 Agent Tesla2014년 말부터 여러 공격에 사용되었습니다. 시간이 지남에 따라 피해자의 키보드 입력 모니터링 및 수집, 스크린샷 촬영, VPN 클라이언트/FTP/이메일 클라이언트/웹 브라우저 등 다양한 소프트웨어의 자격 증명을 훔치는 등의 기능을 추가했습니다.

 

 

<이미지 출처 : https://news.sophos.com/en-us/2021/02/02/agent-tesla-amps-up-information-stealing-attacks/>

 

 

이는 코로나19 팬데믹이 한창이었던 지난 5월 코로나19를 주제로 한 스팸 캠페인을 통해 악성코드를 확산시켰으며, 대상 시스템에서 Wi-Fi 비밀번호, 아웃룩 이메일 자격 증명 등 여러 정보를 탈취했습니다.

 

이후 20208, Agent Tesla의 두 번째 버전은 자격 증명 탈취 대상 애플리케이션의 수를 55개로 확장시켰으며, 그 결과는 SMTP 또는 FTP를 통해 공격자가 제어하는 서버로 전송되었습니다.

 

SMTP를 통해 공격자가 제어하는 메일 서버로 정보를 전송하는 방식은 2018년 발견되었지만, 새로운 버전 중 하나는 HTTP 통신을 위해 Tor 프록시를 이용하였으며, 메시징 앱인 텔레그램의 API를 통해 개인 채팅방으로 해당 정보를 전달한 것으로 나타났습니다.

 

이 외에도, Agent Tesla1단계 다운로더가 가져온 악성 페이로드의 스캔을 건너뛰도록 하기 위해 AMSI의 코드를 수정하려 시도했습니다. 이후 Pastebin(또는 Hastebin)에서 Agent Tesla 악성코드의 로더 역할을 하는 난독화된 base64 인코딩 코드를 가져왔습니다.

 

AMSI는 애플리케이션 및 서비스를 기존 안티 바이러스 제품과 통합시킬 수 있도록 하는 인터페이스 표준입니다.

 

또한 지속성을 확보하기 위해 악성코드는 자신을 폴더에 복사하고 해당 폴더의 속성을 숨김시스템으로 설정하여 윈도우 탐색기에서 숨길 수 있었던 것으로 나타났습니다.

 

SophosAgent Tesla가 가장 많이 사용하는 배포 방식은 악성 스팸이라고 밝혔습니다.

 

Agent Tesla는 이메일을 통해 배포 시 종종 도용된 합법 계정을 사용합니다. 항상 알 수 없는 발신자가 보낸 이메일 첨부파일에 주의하고, 오픈하기 전 첨부파일을 확인해야 합니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Spyware.AgentTesla', 'Trojan.Agent.Woreflint'로 탐지 중입니다. 

 

 

 

 

 

출처:

https://thehackernews.com/2021/02/agent-tesla-malware-spotted-using-new.html

https://news.sophos.com/en-us/2021/02/02/agent-tesla-amps-up-information-stealing-attacks/

관련글 더보기

댓글 영역