기술 지원
문서
로그인
문의하기
팔로알토 네트웍스 유닛 42 보안 연구원들은 이동식 USB 장치에 악성 파일을 숨긴 다음 해당 장치가 연결되는 Windows 호스트를 감염시킬 수 있는 플러그엑스 멀웨어 변종을 조사했습니다. 이 작업은 블랙 바스타 랜섬웨어의 침해에 대응하기 위한 것입니다.
이 멀웨어는 자바스크립트 멀웨어가 브라우저 환경에서 은밀하게 작동하는 방식과 유사하게 오랜 기간 동안 탐지되지 않을 수 있는 "새로운 기술"을 사용하며, 잠재적으로 에어 갭이 있는 시스템으로 확산될 수 있습니다. 새로운 플러그엑스 변종은 "웜이 가능하다"고 하는데, 이는 USB 장치를 감염시키고 Windows 운영 파일 시스템에서 자신을 숨길 수 있다는 의미입니다.
위협 행위자는 최근 공격에서 32비트 버전의 Windows 디버깅 도구인 'x64dbg.exe'와 함께 플러그엑스 페이로드(x32bridge.dat)를 로드하는 포이즈드 버전인 'x32bridge.dll'을 사용하고 있습니다.
"이 PlugX 멀웨어는 또한 새로운 기술을 사용하여 공격자 파일을 USB 장치에 숨기므로 *nix OS 또는 포렌식 도구에 USB 장치를 마운트해야만 악성 파일을 볼 수 있습니다."라고 새로운 위협에 대한 유닛 42의 권고 사항이 적혀 있습니다. "이러한 탐지 회피 능력으로 인해 플러그엑스 멀웨어는 계속해서 확산될 수 있으며 잠재적으로 에어 갭이 있는 네트워크로 이동할 수 있습니다."
그러나 여러 중국 국가 국가 그룹이 널리 사용하는 백도어인 PlugX 또는 Gootkit을 Black Basta 랜섬웨어 조직과 연결 짓는 증거는 없으며, 이는 도커 멀웨어 캠페인이 종종 야생의 다양한 위협 그룹에 의해 사용되는 것과 마찬가지로 다른 공격자가 사용했음을 암시합니다. 플러그엑스의 USB 변종은 워크스테이션에 연결된 USB 디바이스에 있는 파일을 숨기기 위해 공백이 없는 유니코드 문자(U+00A0)를 사용하는 것으로 유명합니다.
마지막으로, 플래시 드라이브의 루트 폴더에 생성된 Windows 바로 가기(.LNK) 파일을 사용하여 멀웨어를 실행하는데, 이는 Qbot 멀웨어 전달 전술을 연상시키는 방법입니다. 플러그엑스 샘플은 호스트에 멀웨어를 설치할 뿐만 아니라 휴지통 폴더에 숨겨서 호스트에 연결된 모든 이동식 디바이스에 멀웨어를 복사하는 작업을 수행합니다.
42팀은 또한 USB 장치를 감염시키고 호스트에서 모든 Adobe PDF 및 Microsoft Word 파일을 복사할 수 있는 플러그엑스 변종을 발견했다고 밝혔습니다. 그런 다음 복사본은 USB 장치에 자동으로 생성된 숨겨진 폴더에 저장됩니다.
이 글의 출처는 TheHackerNews의 기사입니다.
