ClickCease 트렌드마이크로가 발견한 새로운 RomCom 멀웨어

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

트렌드마이크로가 발견한 새로운 RomCom 멀웨어

2023년 6월 15일 TuxCare 홍보팀

트렌드마이크로는 유명하거나 가상의 웹 사이트를 사칭하여 사용자를 속여 유해한 소프트웨어를 다운로드하도록 유도하는 RomCom이라는 멀웨어가 포함된 새로운 캠페인을 발견했습니다.

트렌드마이크로 연구원들은 2022년 여름부터 RomCom을 모니터링해 왔으며, 이 멀웨어가 탐지를 피하는 능력을 개선하고 새로운 명령을 획득한 것을 발견했습니다. 공격자는 주로 원격 데스크톱 관리 애플리케이션과 관련된 웹 사이트를 사용하여 피싱 또는 사회 공학 전술을 사용할 가능성이 높아졌습니다.

롬콤이 처음 사용된 것으로 알려진 것은 2022년 8월 팔로알토 네트웍스가 보고한 것으로, 이 공격은 '트로피컬 스콜피우스'라는 랜섬웨어 계열사의 소행으로 추정됩니다. 트렌드 마이크로는 '보이드 라비수'와 동일한 행위자를 언급합니다.

RomCom 멀웨어는 2022년에 활동했으며 우크라이나, 미국, 브라질, 필리핀의 네트워크를 표적으로 삼았습니다. 이 멀웨어는 SolarWinds 네트워크 성능 모니터, 키패스 암호 관리자, PDF 리더 프로 등 합법적인 소프트웨어로 위장한 것으로 나타났습니다.

트렌드마이크로는 2022년 12월부터 2023년 4월까지 롬콤과 관련된 웹사이트를 발견했습니다. 이 웹사이트들은 김프(Gimp), 고투미팅(Go To Meeting), ChatGPT, 윈디어스탯(WinDirStat), 아스트라챗(AstraChat), 시스템 닌자(System Ninja), 데볼루션의 원격 데스크톱 관리자와 같은 인기 소프트웨어를 제공하는 것처럼 가장했습니다.

이 웹 사이트는 약속된 애플리케이션과 유사하지만 "InstallA.dll"이라는 악성 DLL 파일을 포함하는 트로이 목마 MSI 설치 프로그램을 배포했습니다. 이 파일을 실행하면 세 개의 추가 DLL이 피해자의 %PUBLIC%\Libraries 폴더로 추출되었습니다. 이 DLL은 명령 및 제어 서버 통신과 명령 실행을 담당했습니다.

최신 버전의 RomCom은 악성 명령의 수를 20개에서 42개로 늘려 공격자가 손상된 시스템을 광범위하게 제어할 수 있도록 했습니다. 이 멀웨어는 PID 스푸핑으로 프로세스를 실행하고, 데이터를 추출하고, SSH 프록시를 설정하고, 스스로 업데이트하고, 숨겨진 AnyDesk 인스턴스를 실행하고, 폴더를 압축하여 공격자의 서버로 전송할 수 있습니다.

트렌드마이크로는 또한 RomCom이 추가 멀웨어 페이로드를 설치한 것을 발견했습니다. 이러한 페이로드에는 유출을 위해 스크린샷을 캡처하고 압축하는 PhotoDirector.dll, 웹 브라우저 쿠키 탈취기인 procsys.dll, 암호화폐 지갑 탈취기인 wallet.exe, 인스턴트 메신저 채팅 탈취기인 msg.dll, FTP 자격 증명 탈취기인 FileInfo.dll이 포함되어 있습니다.

코드를 보호하고 탐지를 회피하기 위해 RomCom의 제작자는 코드 보호 및 안티 가상 머신 기능을 위한 VMProtect 소프트웨어를 사용했습니다. 이 멀웨어는 암호화 키의 외부 소스를 사용하여 페이로드를 암호화했습니다. 또한 네트워크 모니터링 도구의 탐지를 피하기 위해 명령 및 제어 통신에 널 바이트를 사용했습니다.

악성 웹사이트는 미국과 캐나다의 합법적인 회사에서 서명한 소프트웨어를 배포합니다. 그러나 이러한 회사는 가짜이거나 웹사이트에 표절된 콘텐츠가 있어 사용자를 속이려는 의도적인 시도를 나타냅니다.

이 글의 출처는 BleepingComputer의 기사입니다.

요약
트렌드마이크로가 발견한 새로운 RomCom 멀웨어
기사 이름
트렌드마이크로가 발견한 새로운 RomCom 멀웨어
설명
트렌드마이크로는 사용자를 속여 유해한 소프트웨어를 다운로드하도록 유도하는 RomCom이라는 멀웨어가 포함된 새로운 캠페인을 발견했습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기