기술 지원
문서
로그인
문의하기
뉴스해양 및 군사 기밀을 노리는 펭귄 피싱 공격
2023년 2월 24일 TuxCare 홍보팀
블랙베리 연구자들에 따르면, "NewsPenguin"이라는 이름의 새로운 피싱 캠페인이 수개월 동안 파키스탄의 군사 산업 단지를 표적으로 삼아 고급 멀웨어 도구를 사용하여 민감한 정보를 훔쳐내고 있다고 합니다. 국가가 후원하는 것으로 추정되는 이 캠페인은 최소 2022년 12월부터 실행되고 있습니다.
블랙베리 연구 및 인텔리전스 팀은 "공격자는 PIMEC-23의 전시업체 매뉴얼이라고 주장하는 무기화된 문서가 첨부된 표적 피싱 이메일을 보냈습니다."라고 말했습니다.
파키스탄 국제 해양 박람회 및 컨퍼런스의 약자인 PIMEC은 "해양 부문의 개발을 도약"한다는 목표로 해양부가 주최하는 파키스탄 해군 이니셔티브입니다. 이 캠페인은 피해자들에게 즉각적인 피해를 입히기보다는 정보를 수집하고 정보를 유출하는 데 더 관심이 있는 것으로 보입니다.
이 캠페인은 기존의 보안 조치로 탐지되지 않도록 설계된 정교한 툴셋을 사용합니다. 툴셋에 포함된 멀웨어와 원격 액세스 트로이목마(RAT)는 피해자의 시스템에 액세스하여 민감한 데이터를 훔치는 데 사용되었습니다. 뉴스펭귄은 암호화된 페이로드를 사용하고 명령 및 제어(C2) 통신을 위한 도메인을 동적으로 생성하는 등 탐지를 회피하기 위한 다양한 기술을 사용했습니다.
공격자들은 바이러스 백신 소프트웨어의 탐지를 피할 수 있는 것으로 알려진 "조디악" 계열의 멀웨어를 사용했습니다. 또한 공격자는 민감한 정보를 훔치는 데 사용되는 키로거인 "IceLog"와 공격자가 피해자의 시스템을 제어할 수 있게 해주는 원격 액세스 도구인 "Gh0stRAT"을 사용했습니다. 또한 공격자들은 기존 안티바이러스 솔루션의 탐지를 피하도록 설계된 Glacier 멀웨어를 사용했습니다.
블랙베리 연구원들은 뉴스펭귄이 "펭귄스파이"라는 새로운 멀웨어 변종을 사용하고 있는 것으로 보고 있습니다. 이 멀웨어는 탐지를 피하고 감염된 시스템에서 비밀번호 도용 및 스크린샷 캡처를 포함한 정보를 수집하도록 설계되었습니다.
여기에는 원격 템플릿 주입 기법을 사용하는 "중요 문서.doc" 문서가 포함되어 있습니다. 표적이 이 문서를 열면 hxxp[:]/windowsupdates[.]shop/test[.]dotx에서 다음 단계 샘플을 검색합니다. 이 도메인은 저희가 발견했을 때 51.222.103[.]으로 리졸브되었습니다. 8. 악성 페이로드 서버는 사용자의 IP 주소가 파키스탄 IP 범위 내에 있는 경우에만 파일을 반환하도록 구성되어 있습니다. 피해자가 "콘텐츠 활성화"를 클릭하면 VBA 매크로 코드가 실행됩니다. 악성 VBA 매크로 코드는 "test.dotx" 파일을 사용자의 "C:WindowsTasks" 폴더에 "abc.wsf"로 저장합니다.
그런 다음 스크립트는 감염된 컴퓨터가 Windows® 7 또는 10을 실행 중인지 확인하고 다음 명령을 위한 작업 이름으로 해당 버전을 저장합니다.
이 글의 출처는 DarkReading의 기사입니다.
유튜브 채널에서 이 뉴스를 시청하세요: https://www.youtube.com/watch?v=ycO6hVmt5R4&t=6s
