North Korean hackers use new Vyveva malware to attack freighters
북한 정부 지원 해커 그룹인 라자루스(Lazarus)가 남아공의 화물 물류 회사를 노린 타깃 공격에 백도어 기능을 포함한 새로운 악성코드인 Vyveva를 사용하고 있는 것으로 나타났습니다.
Vyveva는 2020년 6월 공격에서 처음 사용되었지만, 추가 증거에 따르면 최소 2018년 12월 이전 공격에서 배포된 것으로 나타났습니다.
ESET의 연구원들은 이 악성코드에 감염된 컴퓨터를 단 2대만 발견했으며 두 대 모두 동일한 남아프리카 물류 회사의 소유였습니다. 하지만 이 백도어는 처음 실제 공격에서 발견된 이래로 다른 타깃 공격에도 사용되었을 가능성이 있습니다.
Filip Jurčacko는 보고서를 통해 이에 대해 아래와 같이 언급했습니다.
"Vyveva는 예전 라자루스의 샘플과 코드가 꽤 유사합니다. 네트워크 통신에 가짜 TLS 프로토콜 사용, 커맨드라인 실행 체인, 암호화 및 Tor 서비스 사용 방법 등 많은 부분이 라자루스와 연관되어 있었습니다. 따라서 우리는 Vyveva가 높은 확률로 이 APT 그룹의 작업일 것으로 추측했습니다.”
백도어는 북한에서 만들어져
이 악성코드는 광범위한 사이버 스파잉 기능을 제공하기 때문에 라자루스 운영자가 감염된 시스템에서 파일을 수집하여 Tor 익명 네트워크를 통해 그들이 제어하는 서버로 이를 유출할 수 있었습니다.
라자루스는 Vyveva를 통해 피해자의 네트워크 내 해킹된 모든 시스템에 임의 악성코드를 전달 및 실행하는 것도 가능했습니다.
이 백도어는 timestomping 명령 또한 포함하고 있어 운영자가 시스템 내 다른 파일의 메타데이터를 사용하거나, 새로운 파일이나 수정된 파일을 숨기기 위해 2000~2004년 내 랜덤 날짜로 설정할 수 있습니다.
이 백도어는 매 3분 마다 C2 서버에 연결합니다. 새로운 세션 또는 드라이브 이벤트에서 새로운 C2 연결을 촉발시키기 위해 새롭게 연결된 드라이브나 활성화된 사용자 세션을 추적하는 감시 장치 또한 사용합니다.
<Vyveva 컴포넌트>
Vyveva의 샘플 해시를 포함한 IoC는 ESET의 보고서에서 확인하실 수 있습니다.
현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Nukesped.A'로 탐지 중입니다.
출처:
클럽하우스 사용자 130만 명의 개인 데이터 온라인에 유출 (0) | 2021.04.12 |
---|---|
악성 앱 배포하기 위해 APKPure 스토어 조작돼 (0) | 2021.04.12 |
APT34, 레바논 타깃 공격에서 새로운 'SideTwist' 백도어 사용해 (0) | 2021.04.09 |
Cisco, 루트 권한으로 원격 코드 실행 허용했던 취약점 수정 (0) | 2021.04.08 |
왓츠앱을 기반으로 한 안드로이드 웜 악성코드, 구글 플레이스토어에서 발견돼 (0) | 2021.04.08 |
댓글 영역