ToxicEye, 악성코드 제어에 텔레그램 메신저 사용해

 

 

Cybercriminals Using Telegram Messenger to Control ToxicEye Malware

 

공격자들이 타깃 시스템에서 민감 정보를 캡처하는 악성코드를 조직에 배포하기 위해 텔레그램 메신저를 “명령 및 제어” 시스템으로 악용하고 있는 것으로 나타났습니다.

 

사이버 보안 회사인 Check Point의 연구원들은 아래와 같이 밝혔습니다.

 

“텔레그램이 설치 및 사용되지 않는 상태더라도 공격자는 해당 메신저 앱을 통해 악성 명령 및 작업을 원격으로 전송할 수 있습니다.”

 

연구원들은 지난 3개월 동안 새로운 다중 원격 접속 트로이목마(RAT)인 “ToxicEye”를 사용하는 공격을 최소 130번 이상 목격했다고 설명했습니다.

 

악성 활동에 텔레그램을 이용하는 것은 이번이 처음은 아닙니다. 2019년 9월, 텔레그램을 유출 채널로 사용하는 감염된 컴퓨터에서 정보 및 가상화폐 지갑 데이터를 탈취하는 인포스틸러인 Masad Stealer가 발견되었습니다.

 

그리고 작년, Magecart 그룹은 해킹된 웹사이트에서 훔친 지불 정보를 공격자에게 다시 보내는 동일한 전략을 사용했습니다.

 

이 전략은 여러 방법으로 성과를 거두었습니다. 텔레그램은 기업 안티바이러스 엔진에서 차단되지 않을 뿐만 아니라, 가입 과정에서 모바일 번호만 요구하기 때문에 공격자가 익명성을 유지할 수 있으며, 전 세계 거의 모든 위치에서 감염된 기기에 접근할 수 있습니다.

 

 

<이미지 출처: https://blog.checkpoint.com/2021/04/22/turning-telegram-toxic-new-toxiceye-rat-is-the-latest-to-use-telegram-for-command-control/>

 

 

Check Point에서 발견한 최신 캠페인 또한 다르지 않습니다. 악성 윈도우 실행파일이 포함된 피싱 이메일을 통해 배포되는 ToxicEye는 C2 서버와 통신하고 데이터를 업로드하기 위해 텔레그램을 사용합니다.

 

이 악성코드는 데이터를 훔치고, 파일을 전송 및 삭제하고, 프로세스를 종료하고, 키로거를 배포하고, 컴퓨터의 마이크 및 카메라를 하이재킹해 음성 및 영상을 녹음하고, 심지어는 랜섬머니를 갈취하기 위해 파일을 암호화합니다.

 

특히 이 공격 체인은 실행 파일로(예: "paypal checker by saint.exe") 컴파일하기 전 공격자가 텔레그램 봇을 생성한 다음 RAT의 구성 파일에 삽입하는 것으로 시작됩니다.

 

이 .EXE 파일은 미끼 워드 문서 ("solution.doc")로 주입되고, 오픈될 경우 텔레그램 RAT을 ("C:\Users\ToxicEye\rat.exe") 다운로드 및 실행합니다.

 

Check Point R&D 그룹 매니저인 Idan Sharabi는 아래와 같이 밝혔습니다.

 

“점점 더 많은 공격자들이 텔레그램 플랫폼을 특수한 명령 및 제어 시스템으로 사용하는 추세인 것을 발견했습니다. 공격자들이 텔레그램이 거의 모든 조직에서 사용 및 허용되고 있다는 사실을 악용하여, 보안 제한을 우회하고 사이버 공격을 실행하기 위해 해당 시스템을 악용하는 것으로 추측됩니다.”

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Agent.TelegramRAT'으로 탐지 중입니다.

 

 

 

 

출처:

https://thehackernews.com/2021/04/cybercriminals-using-telegram-messenger.html

https://blog.checkpoint.com/2021/04/22/turning-telegram-toxic-new-toxiceye-rat-is-the-latest-to-use-telegram-for-command-control/