기술 지원
문서
로그인
문의하기
연구원, PlugX 멀웨어 감염 과정 밝혀내다
오반라 오페예미
2023년 2월 7일 - TuxCare 전문가 팀
팔로알토 네트웍스 유닛 42 보안 연구원들은 이동식 USB 장치에 악성 파일을 숨긴 다음 해당 장치가 연결된 Windows 호스트를 감염시킬 수 있는 플러그엑스 멀웨어 변종에 대해 조사했습니다. 이 작업은 블랙 바스타 랜섬웨어의 침해에 대응하기 위한 것입니다.
이 멀웨어는 "새로운 기술"을 사용하여 더 오랜 기간 동안 탐지되지 않고 잠재적으로 에어 갭이 있는 시스템으로 확산될 수 있습니다. 새로운 PlugX 변종은 "웜이 가능하다"고 하는데, 이는 USB 장치를 감염시키고 Windows 운영 파일 시스템에서 자신을 숨길 수 있다는 의미입니다.
위협 행위자는 최근 공격에서 32비트 버전의 Windows 디버깅 도구인 'x64dbg.exe'와 함께 플러그엑스 페이로드(x32bridge.dat)를 로드하는 'x32bridge.dll'의 포이즌 버전을 사용하고 있습니다.
새로운 위협에 대한 유닛 42의 권고문은 "이 PlugX 멀웨어는 새로운 기술을 사용하여 USB 장치에 공격자 파일을 숨기므로 *nix OS 또는 포렌식 도구에 USB 장치를 마운트해야만 악성 파일을 볼 수 있습니다."라고 설명합니다. "이러한 탐지 회피 능력으로 인해 PlugX 멀웨어는 계속해서 확산되고 잠재적으로 에어 갭이 있는 네트워크로 이동할 수 있습니다."
그러나 여러 중국 국가 국가 그룹이 널리 사용하는 백도어인 PlugX 또는 Gootkit을 Black Basta 랜섬웨어 조직과 연결 짓는 증거는 없으므로 다른 공격자가 사용했음을 암시합니다. 플러그엑스의 USB 변종은 워크스테이션에 연결된 USB 장치에 파일을 숨기기 위해 공백이 없는 유니코드 문자(U+00A0)를 사용하는 것으로 유명합니다.
마지막으로, 플래시 드라이브의 루트 폴더에 생성된 Windows 바로 가기(.LNK) 파일을 사용하여 숨겨진 디렉토리에서 멀웨어를 실행합니다. 플러그엑스 샘플은 호스트에 멀웨어를 설치할 뿐만 아니라 휴지통 폴더에 숨겨서 호스트에 연결된 모든 이동식 디바이스에 멀웨어를 복사하는 작업도 수행합니다.
42팀은 또한 USB 장치를 감염시키고 호스트에서 모든 Adobe PDF 및 Microsoft Word 파일을 복사할 수 있는 플러그엑스 변종도 발견했다고 밝혔습니다. 그런 다음 복사본은 USB 장치에 자동으로 생성된 숨겨진 폴더에 저장됩니다.
이 글의 출처는 TheHackerNews의 기사입니다.
