GHOSTPULSE 악성코드
Google Chrome, Microsoft Edge, Brave, Grammarly 및 Cisco Webex와 같은 잘 알려진 소프트웨어에 대한 가짜 MSIX Windows 애플리케이션 패키지 파일을 사용하는 은밀한 사이버 공격 캠페인이 감지되었습니다. 이러한 안전하지 않은 파일은 GHOSTPULSE라는 새로운 유형의 악성 코드 로더를 전파하는 데 사용됩니다.
MSIX는 개발자가 Windows 시스템에 소프트웨어를 패키지, 배포 및 설치하는 데 사용할 수 있는 Windows 애플리케이션 패키지 형식입니다. 그러나 MSIX 파일을 만들고 사용하려면 합법적으로 획득했거나 불법적으로 획득한 코드 서명 인증서에 액세스해야 하므로 이 방법은 자금이 풍부하고 수완이 풍부한 해커 그룹에 특히 매력적이라는 점에 유의하는 것이 중요합니다.
목차
공격자들은 GHOSTPULSE 악성코드를 전달하기 위해 다양한 유인 전술을 사용합니다.
이 계획에 사용된 미끼 설치 프로그램에 따르면, 잠재적인 피해자는 손상된 웹 사이트, SEO(검색 엔진 최적화) 중독, 사기 광고(맬버타이징) 등 잘 알려진 기술을 사용하여 MSIX 패키지를 다운로드하도록 유도된 것으로 의심됩니다.
MSIX 파일이 실행되면 사용자에게 '설치' 버튼을 클릭하라는 Windows 프롬프트가 나타납니다. 이렇게 하면 GHOSTPULSE는 PowerShell 스크립트를 통해 원격 서버(구체적으로 'manojsinghnegi[.]com')에서 손상된 호스트로 자동으로 다운로드됩니다.
이 프로세스는 여러 단계에 걸쳐 진행되며 초기 페이로드는 TAR 아카이브 파일입니다. 이 아카이브에는 Oracle VM VirtualBox 서비스(VBoxSVC.exe)로 위장한 실행 파일이 포함되어 있지만 실제로는 Notepad++(gup.exe)와 함께 번들로 제공되는 합법적인 바이너리입니다.
또한 TAR 아카이브에는 handoff.wav라는 파일과 libcurl.dll의 트로이 목마 버전이 있습니다. 이렇게 변경된 libcurl.dll을 로드하여 DLL 사이드 로딩을 통해 gup.exe의 취약점을 악용하여 감염 과정을 다음 단계로 진행시킵니다.
GHOSTPULSE 악성코드 감염 사슬에 관련된 다양한 유해 기술
PowerShell 스크립트는 바이너리 VBoxSVC.exe의 실행을 시작합니다. 그러면 현재 디렉터리에서 손상된 DLL libcurl.dll을 로드하여 DLL 사이드 로딩이 시작됩니다. 이 방법을 사용하면 위협 행위자가 암호화된 악성 코드의 디스크 존재를 최소화하여 파일 기반 바이러스 백신 및 기계 학습 검사를 통한 탐지를 피할 수 있습니다.
이후 handoff.wav를 분석하여 조작된 DLL 파일을 진행한다. 이 오디오 파일에는 암호화된 페이로드가 숨겨져 있으며, 이후에 mshtml.dll을 통해 디코딩 및 실행됩니다. 모듈 스톰핑으로 알려진 이 기술은 궁극적으로 GHOSTPULSE를 실행하는 데 사용됩니다.
GHOSTPULSE는 로더 역할을 하며 프로세스 도플갱징(process doppelgänging)이라는 또 다른 기술을 사용하여 SectopRAT , Rhadamanthys , Vidar, Lumma 및 NetSupport RAT 를 포함하는 최종 악성 코드 세트의 실행을 시작합니다.
맬웨어 공격 피해자의 결과는 심각할 수 있습니다.
RAT(원격 액세스 트로이 목마) 감염은 사용자의 장치에 여러 가지 심각한 결과를 초래하여 가장 위험한 유형의 맬웨어 중 하나입니다. 첫째, RAT는 악의적인 행위자에게 무단 액세스 및 제어 권한을 부여하여 감염된 장치에서 중요한 정보를 은밀하게 관찰, 조작 및 훔칠 수 있도록 합니다. 여기에는 개인 파일, 로그인 자격 증명, 금융 데이터에 대한 액세스는 물론 키 입력을 모니터링하고 기록하는 기능까지 포함되어 신원 도용 및 간첩을 위한 강력한 도구가 됩니다. 이러한 활동은 재정적 손실, 개인정보 침해, 개인 및 직업 데이터의 손상으로 이어질 수 있습니다.
또한 RAT 감염은 사용자 개인 정보 보호 및 보안에 치명적인 영향을 미칠 수 있습니다. 사기 관련 행위자는 RAT를 사용하여 웹캠과 마이크를 켜고 집에 있는 피해자를 효과적으로 감시할 수 있습니다. 개인 공간에 대한 이러한 침입은 개인정보를 침해할 뿐만 아니라 협박이나 위협적인 콘텐츠 배포로 이어질 수도 있습니다. 또한 RAT를 사용하면 감염된 장치를 봇넷의 일부로 전환하여 대규모 사이버 공격을 시작하거나, 다른 시스템에 악성 코드를 배포하거나, 공격자를 대신하여 범죄 활동을 수행할 수 있습니다. 궁극적으로 RAT 감염은 디지털 환경에 대한 신뢰를 약화시키고 개인의 안전을 침해하며 개인, 기업, 심지어 국가에 장기적으로 심각한 결과를 초래할 수 있습니다.
