상세 컨텐츠

본문 제목

BazarLoader, 중첩된 RAR, ZIP 아카이브 통해 침투해

국내외 보안동향

by 알약4 2021. 7. 15. 09:00

본문

 

 

BazarBackdoor sneaks in through nested RAR and ZIP archives

 

보안 연구원들이 다중 압축 기술을 사용하고 이미지 파일로 위장하여 BazarLoader(BazarBackdoor) 악성코드를 확산시키는 새로운 피싱 캠페인을 발견했습니다.

 

다중 압축 기술은 새롭게 발견된 것은 아니지만, 이메일 보안 게이트웨이를 속여 악성 첨부파일을 정상 파일로 잘못 분류하도록 할 수 있기 때문에 최근 인기를 끌었습니다.

 

이는 압축파일 내에 다른 압축파일을 포함시키는 작업이 포함됩니다. Cofense의 연구원들은 해당 방법이 압축 파일을 검사하는 깊이에 제한을 둔 일부 보안 이메일 게이트웨이(SEG)를 우회할 수 있다고 밝혔습니다.

 

이달 초 시작된 새로운 BazarLoader 캠페인은 공식적으로 65일에 기념하는 환경의 날테마로 기업 사용자를 유인했습니다.

 

 

<이미지 출처 : https://cofense.com/blog/nested-files-evade-segs/>

 

 

메일에 첨부된 중첩된 ZIP RAR 압축파일에는 모두 Trickbot의 BazarLoader 악성코드를 배포하는 JavaScript 파일이 포함되어 있습니다.

 

Cofense측에서 최근 악성 스팸 캠페인을 분석한 결과 극도로 난독화된 JavaScript 파일의 역할이 이미지 확장자를 가진 페이로드를 다운로드하는 것임을 발견했습니다.

 

 

<이미지 출처 : https://cofense.com/blog/nested-files-evade-segs/>

 

 

Cofense는 공격자가 다양한 아카이브 유형을 중첩시켜 보안 이메일 게이트의 압축 해제 제한에 도달하거나 알 수 없는 유형으로 인한 실패를 초래할 가능성을 높인다고 밝혔습니다.

 

난독화된 파일은 페이로드에 대해 여러 암호화 레이어가 존재할 경우, 보안 이메일 게이트웨이에 문제를 발생시킬 수 있어 악성 파일이 탐지되지 않은 채 통과할 수 있는 가능성이 높아집니다.

 

연구원들은 난독화된 JavaScript가 실행되면 HTTP GET 연결을 통해 확장자가 .png인 BazarLoader 페이로드를 다운로드한다고 밝히며 페이로드가 잘못된 확장자를 사용하는 실행파일이라 설명했습니다.

 

BazarLoader가 피해자 컴퓨터에 배포되면, Cobalt Strike를 다운로드 및 실행하여 환경에 측면으로 확산될 수 있습니다.

 

공격자들은 네트워크 내 가치가 높은 시스템에 대한 접근 권한을 얻은 후, 랜섬웨어 공격을 실행하거나 민감 정보를 훔치거나 다른 사이버 범죄자에게 접근 권한을 판매하는 것이 가능합니다.

 

올해 초, 보안 연구원들은 nim 프로그래밍 언어로 작성된 BazarLoader 변종을 발견했습니다. 이로써 TrickBot 개발자가 악성코드의 탐지를 피해 사이버 범죄 행위를 지속할 수 있도록 많은 노력을 하고 있음을 알 수 있습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Downloader.Script.gen', 'Trojan.Agnet.Bazar'로 탐지 중입니다.

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/bazarbackdoor-sneaks-in-through-nested-rar-and-zip-archives/

https://cofense.com/blog/nested-files-evade-segs/

관련글 더보기

댓글 영역