상세 컨텐츠

본문 제목

새로운 Zloader 공격, 탐지를 피하기 위해 마이크로소프트 디펜더 비활성화 시켜

국내외 보안동향

by 알약4 2021. 9. 15. 09:00

본문

 

 

New Zloader attacks disable Windows Defender to evade detection

 

진행 중인 Zloader 캠페인이 피해자의 컴퓨터에서 탐지를 피하기 위해 마이크로소프트 디펜더(구 윈도우 디펜더) 안티바이러스를 비활성화하는 새로운 감염 체인을 사용하는 것으로 나타났습니다.

 

마이크로소프트의 통계에 따르면, 마이크로소프트 디펜더 안티바이러스는 윈도우 10을 사용하는 시스템 10억 대 이상에 선 설치된 안티 악성코드 솔루션입니다.

 

공격자는 악성코드의 전달 벡터를 스팸 또는 피싱 이메일에서 구글 애드워드를 통해 게시되는 팀뷰어 구글 광고로 변경했습니다. 이 광고는 타깃을 가짜 다운로드 사이트로 이동시킵니다.

 

해당 사이트에서는 사용자가 Zloader 악성코드 페이로드를 컴퓨터에 설치하도록 설계된 서명된 악성 MSI 인스톨러를 다운로드하도록 속입니다.

 

SentinelLabs의 보안 연구원인 Antonio Pirozzi Antonio Cocomazzi는 보고서를 통해 아래와 같이 언급했습니다.

 

"이 연구를 통해 분석한 공격 체인은 더욱 높은 은폐 수준에 도달하기 위해 공격의 복잡성이 어떻게 증가했는지 보여줍니다."

 

1단계 드롭퍼는 고전적인 악성 문서에서 서명된 은밀한 MSI 페이로드로 변경되었습니다. 이는 백도어 바이너리와 일련의 LOLBAS를 사용해 방어를 손상시키고 대신 그들의 페이로드를 실행합니다.

 

 

<이미지 출처 : https://www.sentinelone.com/labs/hide-and-seek-new-zloader-infection-chain-comes-with-improved-stealth-and-evasion-mechanisms/>

<Zloader 공격 체인>

 

 

 

호주 및 독일 은행 고객에 집중된 공격

 

Zloader(Terdot, DELoader로도 알려짐) 2015 8월 영국 금융 기관으로 타깃으로 한 공격을 수행했을 당시 처음 발견된 뱅킹 트로이목마입니다.

 

Zeus Panda, Floki Bot과 마찬가지로 이 악성코드는 약 10여년 전 온라인에 유출된 Zeus v2 트로이 목마의 소스코드를 기반으로 합니다.

 

해당 뱅킹 트로이목마는 호주와 브라질, 북미에 이르기까지 전 세계 은행을 노렸으며, 소셜 엔지니어링 기법을 통해 감염된 고객이 인증 코드 및 크리덴셜을 제공하도록 유도하는 웹 인젝션을 사용하여 금융 관련 데이터를 수집하려 시도했습니다.

 

최근에는 Ryuk, Egregor 등 랜섬웨어 페이로드를 전달하는 데도 사용되었습니다. 또한 Zloader는 백도어 및 원격 액세스 기능을 포함하고 있으며 감염된 장치에 추가 페이로드를 드롭하는 악성코드 로더로도 사용될 수 있습니다.

 

연구에 따르면, 이 최신 캠페인은 주로 독일과 호주 은행 기관의 고객을 중점적으로 노리는 것으로 나타났습니다.

 

연구원들은 아래와 같이 결론지었습니다.

 

"ZLoader 캠페인에서 해당 공격 체인을 관찰한 것은 이번이 처음입니다. 이 글을 쓰는 지금, 우리는 해당 전달 체인이 특정 협력 파트너가 구현한 것인지, 주 운영자가 제공한 것인지에 대해 알 수 있는 증거는 찾아볼 수 없었습니다.”

 

2020년 초부터 Malsmoke라 명명된 이 악성 광고 캠페인을 추적해온 MalwareBytes는 공격자가 성인용 악성 사이트를 통해 Fallout 익스플로잇 키트를 사용하여 타깃을 Smoke Loader 악성코드 드롭퍼에 감염시킨 사례를 목격했습니다.

 

이는 2021 8월 말부터 Discord, TeamViewer, Zoom, QuickBooks를 모방한 사이트로 전환했으며, 보안 연구원인 nao_sec에 따르면 개인이 아닌 기업을 노릴 가능성이 높습니다.

 

현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플에 대해 ’Trojan.Downloader.MSI.Agent’으로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-zloader-attacks-disable-windows-defender-to-evade-detection/

https://www.sentinelone.com/labs/hide-and-seek-new-zloader-infection-chain-comes-with-improved-stealth-and-evasion-mechanisms/

https://assets.sentinelone.com/sentinellabs/SentinelLabs-Zloader

 

관련글 더보기

댓글 영역