ClickCease 피크라이트 드로퍼: 해커가 다운로드를 통해 윈도우를 노리는 방법 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

피크라이트 드로퍼: 해커가 다운로드를 통해 윈도우를 노리는 방법

by 와자핫 라자

2024년 9월 2일 TuxCare 전문가 팀

사이버 보안 연구원들은 최근 전례 없는 드로퍼를 발견했습니다. 피크라이트 드로퍼라고 불리는 이 드로퍼는 Windows 시스템을 감염시킬 수 있는 멀웨어를 실행하는 데 사용됩니다. 보고서에 따르면 이러한 감염으로 인해 Windows 디바이스에서 정보 탈취자와 로더가 널리 퍼진다고 합니다. 이 문서에서는 드로퍼가 무엇이며 어떻게 작동하는지 설명합니다.

피크라이트 드로퍼의 이해

최근 언론 보도에 따르면, 피크라이트 드로퍼는 난독화된 파워셸 기반 다운로더입니다. 드로퍼 자체는 ZIP 아카이브의 존재 여부를 확인하는 데 중점을 둔 다단계 실행 체인의 일부입니다.

이 과정에서 악의적인 목적으로 피크라이트 드로퍼를 활용하는 위협 행위자의 목적은 하드코딩된 파일 경로에서 이러한 아카이브를 식별하는 것입니다. 그러나 이러한 아카이브가 존재하지 않는 경우 다운로더는 CDN 서버와의 연결을 시작합니다.

이 연락처는 원격으로 호스팅된 파일을 다운로드하여 디스크에 저장하는 데 사용됩니다. 현재 PEAKLIGHT는 다음과 같은 다양한 페이로드를 다운로드하는 것이 관찰되었습니다:

  • LUMMAC.V2.
  • 섀도우더.
  • CRYPTBOT.

이러한 다운로드 중에는 다양한 난독화 및 회피 방법이 사용되었습니다. 이러한 방법의 일반적인 두 가지 예로는 프록시 실행과 CDN 악용이 있습니다. 6월 초에도 해적판 영화가 멀웨어의 표적이 되었다는 점을 언급할 필요가 있습니다.

피크 라이트 드롭퍼의 공격 체인

보안 프로토콜이 효과적인지 확인하는 데 관심이 있는 사람들은 PEAKLIGHT 드로퍼의 공격 기법이 Lumma Stealer, Hijack Loader, CryptBot 등의 멀웨어 변종을 배포하는 데 사용되었다는 사실을 알고 있어야 합니다. 또한 이러한 변종들은 모두 서비스형 멀웨어(MaaS) 모델로 광고했습니다.

공격 체인을 살펴보면, 드롭퍼는 Windows 바로 가기(LNK) 파일에서 악의적인 의도를 시작합니다. 이 파일은 사용자가 온라인에서 영화를 검색할 때 사용되는 드라이브 바이 기법을 사용하여 다운로드됩니다. 이 파일은 해적판 영화로 위장된 ZIP 아카이브로 배포됩니다.

다운로드가 성공하면 LNK 파일은 자바스크립트 드로퍼에 액세스할 수 있는 콘텐츠 전송 네트워크(CDN)에 연결됩니다. 그런 다음 드로퍼는 호스트에서 PEAKLIGHT 다운로더 스크립트를 실행하여 명령 및 제어(C2) 서버에 연결할 수 있도록 합니다. 이를 통해 스크립트는 추가 페이로드를 가져올 수 있습니다.

구글이 소유한 사이버 보안 회사인 맨디언트는 다양한 변종 LNK 파일을 발견했습니다. 이러한 파일 중 일부는 별표를 활용하여 합법적인 mshta.exe를 실행한다는 점을 언급할 가치가 있습니다. 이렇게 하면 원격 서버에서 검색된 악성 코드를 은밀하게 실행할 수 있습니다.

마지막으로, 이러한 전술의 공개는 멀웨어바이츠가 자세히 설명한 멀버타이징 캠페인과 밀접하게 연관되어 있습니다. 이 캠페인은 Slack에 대한 사기성 Google 검색 광고를 사용하고 원격 액세스 트로이목마 (RAT)를 배포하는 악성 설치 프로그램이 호스팅되는 가짜 웹사이트로 공격 대상자를 유도합니다.

결론

피크라이트 드로퍼는 난독화, CDN 악용, 멀버타이징 캠페인을 사용하여 Windows 사용자를 노리는 정교한 새로운 위협입니다. ZIP 아카이브와 가짜 광고를 악용하여 루마 스틸러 및 크립트봇과 같은 멀웨어를 전달하며, 이러한 진화하는 공격 벡터를 완화하기 위한 강력한 사이버 보안 관행의 필요성을 강조합니다.

이 글의 출처는 해커 뉴스와 Cyware의 기사 등입니다.

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

Linux 환경을 이해하도록
도와주세요!

오픈소스 현황에 대한 설문조사를 완료하면 최고 상금 500달러를 포함한 여러 가지 상품 중 하나를 받을 수 있습니다!

엔터프라이즈 Linux의 미래를 만들기 위해서는 여러분의 전문 지식이 필요합니다!