마이크로소프트, RAT을 배포하는 SEO 포이즈닝 캠페인 경고해

 

 

SEO poisoning campaign aims at delivering RAT, Microsoft warns

 

마이크로소프트가 감염된 시스템에서 민감 데이터를 훔치는 원격 접속 트로이목마(RAT)를 배포하기 위해 SEO 포이즈닝을 활용하는 사이버 공격 웨이브를 모니터링하고 있다고 밝혔습니다.

 

 

<이미지 출처 : https://twitter.com/MsftSecIntel/status/1403461414899970051>

 

 

이들은 SEO 포이즈닝 기술이 꽤 효과적이라고 밝혔습니다. 마이크로소프트의 디펜더 안티바이러스 프로그램은 해당 캠페인의 일환으로 전달된 PDF 문서 수천 건을 확인했습니다.

 

PDF 파일을 열면 사용자는 그들이 원하는 정보가 담긴 .doc 또는 .pdf 파일을 다운로드하라는 메시지를 보게 됩니다. 링크를 클릭하면, 사용자는 .site, .tk, .ga와 같은 TLD가 붙은 사이트 5~7곳으로 이동됩니다. 해당 사이트는 Jupyter 악성코드를 배포하는 데 사용되는 구글 드라이브 웹 페이지의 복사본으로 보입니다.

 

마이크로소프트는 해당 PDF 파일이 주로 아마존 웹 서비스 및 Strikingly를 통해 호스팅된다는 사실을 발견했습니다.

 

이 캠페인은 감염된 기기에 다른 악성 페이로드를 전달하는데도 사용되는 파일리스 .NET RAT인 Jupyter(SolarMarker, Polazert, Yellow Cockatoo로도 알려짐)를 전달합니다.

 

Jupyter는 백도어 기능을 구현하고 운영자가 웹브라우저에서 크리덴셜을 훔칠 수 있도록 합니다. 또한 시작 폴더에 자신을 추가해 지속성을 얻어내며, 피해자의 데스크톱에 바로가기를 수정합니다.

 

지난 4월, eSentire의 보안 전문가들은 특정 비즈니스 용어/특정 키워드(템플릿, 인보이스, 영수증, 설문지, 이력서 등)를 포함한 웹페이지를 10만 개 이상 발견했습니다. 이러한 일반적인 비즈니스 용어는 SEO 포이즈닝에 사용됩니다. 이는 구글의 웹 크롤러를 속여 높은 PageRank 점수를 얻기 위한 조건을 맞추도록 의도적으로 설계한 것입니다.

 

마이크로소프트는 이와 관련해 아래와 같이 밝혔습니다.

 

“SolarMarker, Jupyter 등 여러 이름으로 알려진 이 악성코드는 SEO 포이즈닝이라는 오래된 기술을 사용하고 있습니다. 이들은 SEO 키워드 및 결국은 악성코드로 이어지는 리디렉션 체인을 시작하는 링크로 가득 채워진 PDF 문서 수천 개를 사용합니다.”

 

“사용자는 여러 번의 리디렉션을 거쳐 공격자가 제어하는 사이트에 도달합니다. 구글 드라이브로 위장한 해당 사이트는 사용자에게 파일을 다운로드하라는 메시지를 표시하는데, 이는 보통 SolarMarker/Jupyter 악성코드입니다. 하지만 연구원들은 탐지/분석을 피하기 위해 랜덤 파일이 다운로드되는 것을 목격했습니다.”

 

마이크로소프트는 조직에 이 악성코드를 차단하기 위해 차단 모드에서 EDR을 활성화할 것을 권고했습니다.

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/118944/cyber-crime/seo-poisoning-malware.html

https://twitter.com/MsftSecIntel/status/1403461416875483137