상세 컨텐츠
본문
BazarBackdoor sneaks in through nested RAR and ZIP archives
보안 연구원들이 다중 압축 기술을 사용하고 이미지 파일로 위장하여 BazarLoader(BazarBackdoor) 악성코드를 확산시키는 새로운 피싱 캠페인을 발견했습니다.
다중 압축 기술은 새롭게 발견된 것은 아니지만, 이메일 보안 게이트웨이를 속여 악성 첨부파일을 정상 파일로 잘못 분류하도록 할 수 있기 때문에 최근 인기를 끌었습니다.
이는 압축파일 내에 다른 압축파일을 포함시키는 작업이 포함됩니다. Cofense의 연구원들은 해당 방법이 압축 파일을 검사하는 깊이에 제한을 둔 일부 보안 이메일 게이트웨이(SEG)를 우회할 수 있다고 밝혔습니다.
이달 초 시작된 새로운 BazarLoader 캠페인은 공식적으로 6월 5일에 기념하는 “환경의 날” 테마로 기업 사용자를 유인했습니다.
메일에 첨부된 중첩된 ZIP 및 RAR 압축파일에는 모두 Trickbot의 BazarLoader 악성코드를 배포하는 JavaScript 파일이 포함되어 있습니다.
Cofense측에서 최근 악성 스팸 캠페인을 분석한 결과 극도로 난독화된 JavaScript 파일의 역할이 이미지 확장자를 가진 페이로드를 다운로드하는 것임을 발견했습니다.
Cofense는 공격자가 “다양한 아카이브 유형을 중첩시켜 보안 이메일 게이트의 압축 해제 제한에 도달하거나 알 수 없는 유형으로 인한 실패를 초래할 가능성을 높인다”고 밝혔습니다.
난독화된 파일은 페이로드에 대해 여러 암호화 레이어가 존재할 경우, 보안 이메일 게이트웨이에 문제를 발생시킬 수 있어 악성 파일이 탐지되지 않은 채 통과할 수 있는 가능성이 높아집니다.
연구원들은 “난독화된 JavaScript가 실행되면 HTTP GET 연결을 통해 확장자가 .png인 BazarLoader 페이로드를 다운로드한다”고 밝히며 페이로드가 잘못된 확장자를 사용하는 실행파일이라 설명했습니다.
BazarLoader가 피해자 컴퓨터에 배포되면, Cobalt Strike를 다운로드 및 실행하여 환경에 측면으로 확산될 수 있습니다.
공격자들은 네트워크 내 가치가 높은 시스템에 대한 접근 권한을 얻은 후, 랜섬웨어 공격을 실행하거나 민감 정보를 훔치거나 다른 사이버 범죄자에게 접근 권한을 판매하는 것이 가능합니다.
올해 초, 보안 연구원들은 nim 프로그래밍 언어로 작성된 BazarLoader 변종을 발견했습니다. 이로써 TrickBot 개발자가 악성코드의 탐지를 피해 사이버 범죄 행위를 지속할 수 있도록 많은 노력을 하고 있음을 알 수 있습니다.
현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Downloader.Script.gen', 'Trojan.Agnet.Bazar'로 탐지 중입니다.
출처:
'국내외 보안동향' 카테고리의 다른 글
| 패치되지 않은 EOL SonicWall SMA 100 VPN, 랜섬웨어 공격에 취약해 (0) | 2021.07.16 |
|---|---|
| Sodinokibi 랜섬웨어의 인프라와 웹사이트 운영 중단돼 (0) | 2021.07.15 |
| 중국 <네트워크 제품 보안 취약점 관리규정> 9월 1일 시행 (0) | 2021.07.14 |
| 마이크로소프트, 윈도우 Hello의 인증 취약점 수정 (0) | 2021.07.14 |
| Trickbot 악성코드 돌아와, 새로운 VNC 모듈로 피해자 감시해 (0) | 2021.07.14 |
댓글 영역