ClickCease 다크게이트 멀웨어, 영국, 미국, 인도를 강타하다

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

다크게이트 멀웨어, 영국, 미국, 인도를 강타하다

와자핫 라자

2023년 11월 1일 TuxCare 전문가 팀

최근 사이버 보안 전문가들은 베트남에서 시작된 일련의 사이버 공격이 영국, 미국, 인도의 디지털 마케팅 부문을 표적으로 삼고 있다는 사실을 발견했습니다. 이러한 정교한 공격에는 다음과 같은 다양한 멀웨어 변종 사용다양한 멀웨어 변종을 사용하며, 악명 높은 다크게이트 정보 탈취자가 그 중심에 있습니다. 자세한 내용을 살펴보겠습니다. 다크게이트 멀웨어 위협 에 대해 자세히 알아보고 공격자들이 사용하는 전략을 이해해 보세요.

 

보안 회사 위드시큐어의 탐지 및 대응 팀은 여러 베트남의 사이버 범죄 그룹 을 추적하는 데 주의를 기울이고 있습니다. 9월에 발생한 이 캠페인은 마케팅 전문가를 속이기 위해 교묘하게 설계되었습니다. 공격자들은 매력적인 직업 설명과 급여 정보로 위장한 악성 파일을 다운로드하도록 피해자를 속였습니다.

 

기만 전술


이 사이버 범죄자들은 의심하지 않는 피해자들을 함정으로 유인하기 위해 사람들이 취업 기회에 대해 갖는 신뢰를 악용했습니다. 이들은 컴퓨터 메모리 및 하드웨어 제조업체인 Corsair와 인도 금융 회사인 Groww와 같은 잘 알려진 기업을 사칭했습니다. 이들은 가짜 채용 공고를 조작하여 개인이 무해해 보이는 파일을 다운로드하도록 유도했습니다. 예를 들어, 한 가지 수법에는 악성 파일인 "Job
설명.docx"라는 악성 파일이 포함되었고, 또 다른 수법은 인도의 Groww의 채용 공고를 악용했습니다.

 

멀웨어 아스날

 

이러한 공격의 배후에 있는 사이버 범죄 그룹은 사이버 범죄 마켓플레이스에서 다양한 정보 탈취용 멀웨어를 입수한 것으로 보입니다. 이들은 이러한 툴을 서로 바꿔가며 배포했기 때문에 특정 캠페인의 배후를 특정 그룹으로 지목하기가 어려웠습니다. 다크게이트, 덕테일, 롭샷, 레드라인 등의 멀웨어가 사용되었습니다.

 

어트리뷰션 과제

 

이러한 공격에 사용되는 전략과 소프트웨어는 다양하지만, 이를 연결하는 공통점은 베트남에서 시작되었다는 점입니다. 사이버 영역에서는 위협 행위자가 동일한 목적을 위해 다양한 기술을 사용하면서 새로운 표적, 캠페인, 미끼를 만들 수 있기 때문에 어트리뷰션이 어려울 수 있습니다. 따라서 공격자가 사용하는 기술만을 통해 활동을 추적하는 것은 공격자의 행동에 대한 제한적인 정보만 제공합니다.

정교함 부족

 

특히, 이러한 캠페인의 배후에 있는 개별 공격자 또는 그룹은 높은 수준의 정교함을 보여주지 않았습니다. 공격자들은 자신들의 활동을 숨기려는 노력을 거의 하지 않았기 때문에 위험에 대한 욕구가 상당히 큰 것으로 보였습니다. 보안 연구원들은 캠페인에 사용된 .lnk, .pdf, .msi 파일에 포함된 메타데이터를 쉽게 조사하여 코드 작성자, 하드 드라이브의 식별 번호, 파일 생성 타임스탬프 및 위치에 대한 정보를 파악할 수 있었습니다.

 

다크게이트 멀웨어

 

8월 초, 위드시큐어의 경계 팀은 베트남 해커가 손상된 Windows 디바이스에 다크게이트 정보 탈취기를 주입하려는 시도를 탐지했습니다. 이 사악한 계획을 수행하기 위해 해커는 피해자에게 "급여 및 신제품.8.4.zip"이라는 이름의 아카이브 파일을 다운로드하도록 유도했습니다. 

무해해 보이는 이 아카이브 안에는 AutoIT 스크립팅 도구를 실행하도록 설계된 악성 VBS 스크립트가 숨어 있었고, 이 스크립트는 차례로 다크게이트 원격 액세스 트로이 목마 코드. 따라서 철저한 철저한 다크게이트 멀웨어 분석 의 기능과 잠재적 위협을 이해하려면 철저한 분석이 필수적입니다.

 

다크게이트의 악명 높은 역사

 

다크게이트는 2017년 사이버 범죄자들이 다양한 악의적인 활동에 사용하면서 보안 연구자들의 레이더망에 처음 포착되었습니다. 여기에는 키 로깅, 권한 상승, 암호화폐 채굴, 웹 브라우저에서 데이터 도난, 악성 다크게이트 소프트웨어에 대한 원격 액세스를 포함한 추가 멀웨어를 설치하는 '드롭퍼' 역할이 포함되었습니다. 악성 다크게이트 소프트웨어.

다크게이트는 컴팩트한 빌드 크기와 손상된 시스템에 대한 높은 수준의 권한을 획득하는 동시에 페이로드를 난독화하여 바이러스 백신 탐지를 회피하는 기능으로 잘 알려져 있습니다. 효과적 다크게이트 멀웨어 탐지 은 디지털 자산을 보호하는 데 매우 중요합니다.

 

광범위한 가용성

 

다크게이트는 여전히 쉽게 구할 수 있고 계속 사용되고 있습니다. 당황스러운 사실은 러시아의 사이버 범죄 포럼 사용자 'RastaFarEye'가 사이버 범죄 포럼에 다크게이트를 광고했다는 것입니다. 이 멀웨어의 가격은 연간 10만 달러, 월 1만 5,000달러, 하루 1,000달러로 책정되어 있었다고 보안 업체 제로폭스가 보도했습니다. 이후 보안 연구원들은 미주, 중동, 아시아, 아프리카 전역에서 다크게이트 감염이 크게 증가하는 것을 관찰했습니다.

 

Microsoft 팀을 통한 피싱

 

지난 9월, 한 사이버 범죄자 그룹이 인사 담당자를 주제로 한 Microsoft Teams의 사회 공학 채팅 메시지를 활용하여 다크게이트 멀웨어를 유포했습니다. 이 공격자들은 Office 365 계정을 손상시켜 "휴가 일정 변경.zip"이라는 이름의 SharePoint 호스팅 파일이 포함된 피싱 메시지를 보냈습니다.

 

영리한 속임수

 

공격자들이 사용한 또 다른 영리한 수법은 손상된 Skype 계정과 관련이 있습니다. 공격자들은 "filename.pdf"라는 이름의 기만적인 VBS 스크립트를 통해 다크게이트 멀웨어를 전송했습니다. 수신자는 합법적인 PDF 파일을 다운로드하는 것으로 착각하여 자신도 모르게 악성 코드가 시스템에 침투하도록 허용했습니다.

 

무기로서의 LinkedIn

 

베트남 공격자들과 관련된 캠페인에서 LinkedIn은 악성 .zip 파일 을 피해자에게 배포하는 플랫폼 역할을 했습니다. 이러한 메시지 중 하나는 피해자를 URL(hxxps://g2.by/jd-Corsair)로 안내했으며, 이 URL을 방문하면 Google 드라이브에 호스팅된 악성 파일로 리디렉션됩니다.

 

다각적인 위협


위드시큐어의 수석 위협 인텔리전스 분석가인 스티븐 로빈슨이 강조한 것처럼 다크게이트의 수명과 다재다능함은 놀라울 정도입니다. 다크게이트는 베트남 공격자들의 범위를 넘어 다양한 그룹에서 다양한 목적으로 계속 활용되고 있습니다. 이러한 다면적인 특성은 사용된 멀웨어만으로는 사이버 활동의 전체 범위를 평가하는 데 어려움이 있음을 강조합니다.


덕테일의 흥미로운 기능

 

7월에 발생한 별도의 사건에서 동일한 공격자 그룹이 다음에 액세스할 수 있는 개인 및 직원의 기기를 감염시켰습니다. Facebook 비즈니스 계정 개인 및 직원의 기기를 감염시켰습니다. 특히 Ducktail에는 Facebook 비즈니스 계정을 대상으로 하는 추가 기능이 포함되어 있습니다. Facebook 비즈니스 계정 세션 쿠키를 찾으면 공격자를 관리자로 추가하려고 시도합니다. 이 기능은 최신 멀웨어의 고도로 자동화된 특성을 잘 보여줍니다.

 

결론

 

다크게이트 멀웨어와 이와 관련된 사이버 범죄 그룹은 전 세계적으로 계속해서 심각한 위협을 가하고 있습니다. 이러한 공격자들은 수법이 정교하지는 않지만, 뻔뻔함과 적응력이 뛰어나 강력한 적입니다. 경계를 늦추지 마세요, 다크게이트 멀웨어로부터 보호에 대한 경계를 늦추지 말고 강력한 사이버 보안 조치 에 투자하는 것은 이 진화하는 위협으로부터 디지털 자산을 보호하는 데 매우 중요합니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스GOVInfoSecurity.

 

요약
다크게이트 멀웨어, 영국, 미국, 인도를 강타하다
기사 이름
다크게이트 멀웨어, 영국, 미국, 인도를 강타하다
설명
영국, 미국, 인도를 노리는 다크게이트 멀웨어에 대한 최신 정보를 확인하세요. 비즈니스를 보호하는 방법을 알아보세요. 최신 위협을 살펴보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기