ClickCease 님 기반 멀웨어 경고: 미끼 워드 문서로 위협을 불러일으키는 악성코드

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

님 기반 멀웨어 경고: 미끼 워드 문서로 위협을 불러일으키는 악성코드

와자핫 라자

2024년 1월 10일 TuxCare 전문가 팀

사이버 위협이 끊임없이 진화하는 가운데 최근 새로운 피싱 캠페인이 등장했습니다. 이 님 기반 멀웨어 는 미끼 Microsoft Word 문서를 사용하여 Nim 프로그래밍 언어가 내장된 백도어를 전달합니다. 이러한 전략적 움직임은 보안 커뮤니티를 불리하게 만드는데, 흔하지 않은 프로그래밍 언어를 사용하면 연구자와 리버스 엔지니어의 조사 과정이 복잡해지기 때문입니다.


증가하는 님 기반 멀웨어


넷스코프 연구원인 가나샴 사트파티와 얀 마이클 알칸타라가 이 멀웨어의 확산에 대해 자세히 설명합니다.
디코이 워드 문서 멀웨어. 지금까지 님은 위협 환경에서 드물게 사용되었지만, 공격자들이 처음부터 맞춤형 툴을 개발하거나 기존 악성 프로그램을 이 언어로 포팅하면서 흐름이 바뀌고 있습니다.

 

최근의 사례로는 님자로더, 님다, 아이스엑스엘로더와 같은 로더의 출현, 그리고 랜섬웨어 계열 다크 파워, 칸티와 같은 랜섬웨어 제품군. 이러한 변화는 사이버 공격자들의 기법이 다양화되고 사이버 보안 전문가들의 탐지 및 분석이 더욱 어려워지는 추세를 반영합니다.


사이버 공격에서의 님 언어


넷스코프가 식별한 피싱 캠페인은 피싱 이메일에 첨부된 무해해 보이는 워드 문서로 시작됩니다. 수신자가 이 문서를 열면 매크로를 활성화하라는 메시지가 표시되고, 이를 통해 Nim 기반 멀웨어가 배포됩니다. 특히, 이메일 발신자는 네팔 정부 관계자로 위장하여 합법적인 것처럼 보이도록 위장합니다.

 

일단 활성화되면 멀웨어는 감염된 호스트에서 실행 중인 프로세스를 열거하는 역할을 수행합니다. 이 멀웨어의 주요 목표는 알려진 분석 도구의 존재를 식별하고 탐지된 경우 즉시 스스로를 종료하는 것입니다. 그 후 백도어는 연결을 설정합니다. 네팔 국가정보기술센터(NITC)를 비롯한 네팔 정부 도메인을 모방한 원격 서버와 연결을 설정하고 추가 지시를 기다립니다.

 

이 캠페인과 관련된 명령 및 제어(C2) 서버는 다음과 같습니다:

 

  • mail[.]mofa[.]govnp[.]org
  • NITC[.]GOVNP[.]ORG
  • MX1[.]NEPAL[.]GOVNP[.]ORG
  • dns[.]govnp[.]org


님 멀웨어 전달 방법


연구원들은 다음과 같이 강조합니다.
님 멀웨어가 사용하는 기술에 사용된 기법을 강조하며, 이를 정적으로 유형화된 컴파일된 프로그래밍 언어라고 설명합니다. 익숙한 구문 외에도 Nim의 교차 컴파일 기능은 공격자가 단일 멀웨어 변종을 작성하고 이를 교차 컴파일하여 다른 플랫폼을 공격할 수 있도록 지원합니다. 이러한 유연성 덕분에 다음과 같은 악성 문서 공격의 효과에 기여하여 위협 행위자가 도달 범위를 극대화할 수 있도록 합니다.


진화하는 사이버 위협 환경


사이블이 공개한 소셜 엔지니어링 캠페인에서 알 수 있듯이 사이버 위협의 범위가 넓어지고 있는 가운데 이러한 사실이 밝혀졌습니다. 이 캠페인에서 소셜 미디어 플랫폼은 편집봇 스틸러라는 새로운 파이썬 기반 스틸러 멀웨어를 전달하는 수단으로 사용되었습니다. 이 멀웨어는 공격자가 제어하는 텔레그램 채널을 통해 중요한 데이터를 수집하고 유출하도록 설계되었습니다.

 

위협 공격자들이 새로운 멀웨어 변종을 실험하는 동안에도 전통적인 피싱 캠페인은 지속되고 있습니다. 특히 다음과 같이 잘 알려진 멀웨어는 다크게이트 와 같은 알려진 멀웨어는 가짜 업데이트 미끼를 사용하여 이메일과 손상된 웹사이트를 통해 배포되며, 이 수법은 로그라티케이트(RogueRaticate)로 알려져 있습니다. 엔터프라이즈 보안 업체인 Proofpoint는 최소 20개의 캠페인 2023년 9월과 11월 사이에 다크게이트 멀웨어를 활용한 최소 20건의 캠페인을 확인했으며, 그 다음 달에 넷서포트 RAT로 전환했습니다.


피싱 캠페인의 고급 전술


프루프포인트는 피싱 캠페인에서 위협 공격자들이 다크게이트와 넷서포트 RAT를 활용하는 고급 전술을 채택하고 있다는 사실을 밝혀냈습니다. 2023년 10월에 발생한 한 주목할 만한 사건에서 공격자들은 404 TDS와 케이타로 TDS라는 두 개의 트래픽 전송 시스템(TDS)을 사용하여 피해자를 필터링하고 공격자가 운영하는 도메인으로 리디렉션했습니다. 이 도메인은 CVE-2023-36025(CVSS 점수: 8.8)를 익스플로잇하는 페이로드를 호스팅했습니다. 이 심각도가 높은 Windows 스마트스크린 보안 우회 공격은 2023년 11월에 Microsoft에서 해결했습니다.

 

놀랍게도 다크게이트의 배후 그룹인 배틀 로얄은 이 취약점이 마이크로소프트에 의해 공개되기 한 달 전에 제로데이로 무기화했습니다. 다크게이트는 정보를 훔치고 추가 멀웨어 페이로드를 다운로드하는 데 중점을 두는 반면, 처음에는 원격 관리 도구였던 넷서포트 RAT는 자유로운 원격 제어를 원하는 악의적인 공격자들에게 강력한 무기로 진화했습니다. 따라서 문서 기반 멀웨어로부터 보호하려면 다음과 같이 주의 깊은 조치를 취해야 합니다. 문서 기반 멀웨어로부터 보호.


사이버 위협의 다양화


사이버 보안 위협의 환경
2024년 사이버 보안 위협 위협 행위자들이 새롭고 다양하며 점점 더 창의적인 공격 체인을 채택하면서 계속 진화하고 있습니다. Proofpoint는 이메일 및 가짜 업데이트 미끼와 함께 다양한 TDS 도구의 사용을 강조하며, 지능형 회피 기법의 다면성을 보여줍니다. 고급 회피 기법 사용자가 최종 페이로드를 설치하도록 유도하는 데 사용됩니다.

 

다크게이트의 활용 범위는 배틀 로얄 외에도 TA571, TA577 등 다른 위협 공격자들에 의해 확대되고 있습니다. 다크게이트는 AsyncRAT, 넷서포트 RAT, 아이스아이디, 피카봇, 칵봇(일명 큐봇)과 같은 다양한 멀웨어를 유포하는 데 활용됩니다. 다음에 대한 최신 정보 얻기 사이버 위협 환경 업데이트 에 대한 최신 정보를 유지하는 것은 강력한 사이버 보안 조치를 유지하는 데 매우 중요합니다.


결론


결론적으로, 사이버 보안 환경은 다음과 같은 전술의 역동적인 상호 작용을 목격하고 있습니다.
님 기반 멀웨어 가 사이버 위협의 새로운 주역으로 부상하면서 전술이 역동적으로 상호작용하고 있습니다. 위협 행위자들의 전략이 다양해지고 정교해짐에 따라 조직은 경계를 늦추지 말고 다음과 같은 사이버 보안 모범 사례 사이버 보안 모범 사례를 구현해야 합니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스CyberM.

요약
님 기반 멀웨어 경고: 미끼 워드 문서로 위협을 불러일으키는 악성코드
기사 이름
님 기반 멀웨어 경고: 미끼 워드 문서로 위협을 불러일으키는 악성코드
설명
날로 증가하는 님 기반 멀웨어의 위협에 대한 최신 정보를 확인하세요. 사이버 공격자가 미끼 Word 문서를 사용하여 시스템에 침투하는 방법을 알아보세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기