기술 지원
문서
로그인
문의하기
새로운 감염 체인을 제공하는 범블비 멀웨어
2022년 9월 22일 TuxCare 홍보팀
새로운 버전의 범블비 멀웨어 로더가 연구자들에 의해 발견되었습니다. 이 새로운 변종 멀웨어는 DLL 페이로드를 메모리에 은밀하게 반사적으로 주입하기 위해 파워스크립트 프레임워크를 사용하는 등 새로운 감염 사슬을 제공합니다.
암호로 보호된 압축된 USO 파일이 포함된 이메일을 통해 피해자에게 도달했던 과거와 달리, 새로운 변종은 ISO 파일 대신 VHD(가상 하드 디스크) 파일을 사용합니다. 새로운 VHD 파일에는 LNK 바로가기 파일이 포함되어 있습니다.
이제 LNK는 범블비(DLL)를 직접 실행하는 대신 'imageda.ps1'을 실행하여 PowerShell 창을 시작하고 'ShowWindow' 명령을 악용하여 사용자로부터 숨깁니다. SP1 스크립트는 Base64 및 문자열 연결을 사용하여 난독화되어 PowerShell 로더의 두 번째 단계를 로드하는 동안 AV 탐지를 회피합니다.
감염의 두 번째 단계에서는 첫 번째 단계와 유사한 위장 전술이 사용됩니다. 이 전술에는 반사 주입을 통해 64비트 멀웨어를 PowerShell 프로세스의 메모리에 로드하는 데 사용되는 PowerShell 모듈이 포함됩니다.
"파워스플로잇은 오픈 소스 익스플로잇 후 프레임워크로, 악성코드가 파워셸 프로세스에 반사적으로 DLL을 로드하기 위해 Invoke-ReflectivePEInjection이라는 메서드를 사용합니다. 이 방법은 포함된 파일의 유효성을 검사하고 실행 시스템에 파일이 올바르게 로드되었는지 확인하기 위해 여러 검사를 수행합니다."라고 Cyble은 보고서에서 설명합니다.
새로운 감염 체인을 통해 범블비는 메모리에서 로드하고 컴퓨터의 하드 드라이브에는 절대 접근하지 않으므로 바이러스 백신 도구에 의해 탐지 및 중지될 가능성을 최소화할 수 있습니다. 또한 은밀성을 높이면 멀웨어 로더가 더 강력한 초기 액세스 위협을 제공하고 랜섬웨어 및 멀웨어 운영자를 유인할 가능성이 높아집니다.
이 글의 출처는 BleepingComputer의 기사입니다.
