ClickCease 해커, 이모텟 봇넷을 사용하여 코인마이너와 퀘이사 RAT를 공격하다

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

해커, 이모텟 봇넷을 사용하여 코인마이너와 퀘이사 RAT를 공격하다

2022년 11월 1일 TuxCare 홍보팀

해커들은 Emotet 봇넷을 사용하여 암호로 보호된 아카이브 파일을 악용하여 취약한 디바이스에 코인마이너와 퀘이사 RAT를 드롭하고 있습니다. 보안 연구원들이 분석한 샘플 중 하나에 따르면, 송장 테마의 ZIP 파일에 중첩된 자동 압축 풀기(SFX) 아카이브가 포함되어 있는 것이 발견되었습니다. 첫 번째 아카이브는 두 번째 아카이브를 실행하는 통로 역할을 합니다.

이 공격은 Trustwave SpiderLabs의 보안 연구원들에 의해 발견되었습니다. Trustwave는 비밀번호로 보호된 ZIP 파일로 패키징된 위협이 증가하고 있으며, 이 보안 회사는 이러한 위협의 약 96%가 Emotet 봇넷을 통해 확산되었다고 주장했습니다.

연구진은 이 멀스팸 캠페인은 공격자가 첨부 파일을 열도록 유도할 필요가 없다는 점에서 독특하다고 설명했습니다. 대신 이 캠페인은 배치 파일을 사용하여 페이로드의 잠금을 해제하기 위한 암호를 자동으로 제공합니다.

자동 압축 풀기(SFX) 아카이브 파일은 PDF 또는 Excel 기호를 사용하여 합법적인 것처럼 보이게 합니다. 실제로 SFX 파일은 비밀번호로 보호된 두 번째 SFX RAR 파일, 아카이브를 시작하는 앞서 언급한 배치 스크립트, 미끼 PDF 또는 이미지의 세 가지 구성 요소로 이루어져 있습니다.

배치 파일이 실행되면, 암호로 보호된 RARsfx [자동 압축 풀기 RAR 아카이브] 내에 숨어 있는 악성 코드가 설치됩니다. 이를 위해 배치 스크립트는 tbe 아카이브의 암호와 페이로드를 추출할 대상 폴더를 지정합니다. 또한 악성 활동을 숨기기 위해 미끼 문서를 표시하는 명령을 실행합니다.

원클릭 기법이라고도 하는 이 기법은 암호 장벽을 우회하여 악의적인 공격자가 크립토재킹, 데이터 유출, 랜섬웨어 등 다양한 작업을 수행할 수 있도록 하는 것으로 알려져 있습니다.

"자동 압축 해제 아카이브는 오랫동안 사용되어 왔으며 최종 사용자들 사이에서 파일 배포를 용이하게 해줍니다. 하지만 파일 내용을 쉽게 확인할 수 없고 명령과 실행 파일을 조용히 실행할 수 있기 때문에 보안 위험이 있습니다."라고 연구원들은 말합니다.

이 글의 출처는 TheHackerNews의 기사입니다.

요약
해커, 이모텟 봇넷을 사용하여 코인마이너와 퀘이사 RAT를 공격하다
기사 이름
해커, 이모텟 봇넷을 사용하여 코인마이너와 퀘이사 RAT를 공격하다
설명
해커들은 Emotet 봇넷을 사용하여 비밀번호로 보호된 아카이브 파일을 악용하여 취약한 디바이스에 코인마이너와 퀘이사 RAT를 드롭하고 있습니다.
작성자
게시자 이름
턱시도 케어
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기