WildPressure APT Emerges With New Malware Targeting Windows and macOS
지난 2019년부터 중동의 산업 관련 단체를 노린 악성 캠페인이 Windows와 macOS 모두를 공격하는 업그레이드된 악성 코드 툴셋으로 다시 돌아왔습니다.
Kaspersky는 이 공격이 WildPressure APT의 소행이며 피해자는 석유 및 가스 산업으로 추측했습니다.
WildPressure는 지난 2020년 3월 처음으로 발견되었으며, 당시 해킹된 장치를 원격으로 제어 할 수 있는 완전한 기능을 갖춘 C++ 트로이목마인 "Milum"을 사용했습니다. 공격은 최소 2019년 8월부터 시작된 것으로 나타났습니다.
지난해, Kaspersky 연구원인 Denis Legezo는 이와 관련하여 아래와 같이 밝혔습니다.
"운영자는 캠페인 인프라를 위해 임대 OVH 및 Netzbetrieb 가상 사설 서버(VPS)와 Domains by Proxy 익명화 서비스에 등록된 도메인을 사용했습니다.”
그 이후, WildPressure 캠페인에 사용 된 새로운 악성코드 샘플이 발견되었습니다. 여기에는 C++ Milum 트로이목마의 최신 버전, 동일한 버전 번호의 해당 VBScript 변종, Windows와 macOS 모두에서 작동하는 파이썬 스크립트인 "Guard"가 포함됩니다.
이 파이썬 기반 멀티 OS 트로이목마는 아래와 같이 피해자 컴퓨터의 호스트 이름, 컴퓨터 아키텍처 및 OS 릴리스 이름을 원격 서버에 비콘하고 설치된 안티 바이러스 제품을 확인하도록 설계되었습니다. 또한 이는 임의 파일을 다운로드 및 업로드하고, 명령을 실행하고, 트로이목마를 업데이트하고, 감염된 호스트에서 흔적을 지우도록 지시하는 서버의 명령을 기다립니다.
"Tandis"라 명명된 이 VBScript 버전 악성코드는 Guard 및 Milum과 유사한 기능을 제공하는 동시에 C2 통신에 HTTP를 통한 암호화 된 XML을 사용합니다. 이와 별도로 Kaspersky는 키 입력 기록 및 스크린 샷 캡처를 포함하여 감염된 시스템에서 데이터를 수집하는 새로운 C++ 플러그인을 발견했다고 밝혔습니다.
현재까지 악성코드 확산 메커니즘에 대해 명확히 밝혀지지 않은 상태이며, 다른 강력한 코드나 피해자와 관련된 유사성은 없습니다. 하지만 연구원들은 이 기능이 BlackShadow라는 다른 공격자가 사용하는 기술에서 약간의 연관성을 발견했다고 밝혔습니다.
출처:
https://thehackernews.com/2021/07/wildpressure-apt-emerges-with-new.html
Sage X3 엔터프라이즈 관리 소프트웨어에서 치명적인 취약점 발견 (0) | 2021.07.09 |
---|---|
모건 스탠리, 타사 벤더 해킹 후 데이터 유출 사실 공개 (0) | 2021.07.09 |
가짜 안드로이드 크립토마이닝 앱, 수만 명 사용자에게 사기 행각 벌여 (0) | 2021.07.08 |
SonicWall, NSM 기기의 치명적인 CVE-2021-20026 취약점 수정 (0) | 2021.07.07 |
Kaseya, 약 1,500개 기업이 Sodinokibi 랜섬웨어 공격 받았다고 밝혀 (0) | 2021.07.07 |
댓글 영역