스텔스 솔저 악성코드

\

사이버 보안 커뮤니티는 최근 스텔스 솔저(Stealth Soldier)라는 새로 식별된 맞춤형 백도어를 발견했습니다. 이 백도어는 북아프리카에서 일련의 정교하고 구체적으로 표적이 된 스파이 캠페인에 활용되었습니다.

Stealth Soldier는 문서화되지 않은 백도어 멀웨어로 손상된 시스템에서 민감한 정보를 수집하는 것을 목표로 다양한 감시 기능을 보여줍니다. 감염된 장치에서 파일 추출, 화면 및 마이크 활동 기록, 키 입력 기록, 브라우징 관련 데이터 도용 등 다양한 감시 기능을 수행합니다.

이 공격 작전의 주목할만한 측면 중 하나는 리비아 외무부와 관련된 웹사이트를 모방한 C&C(Command-and-Control) 서버를 사용한다는 것입니다. 이러한 합법적인 사이트를 모방함으로써 공격자는 악의적인 활동을 실행하는 데 도움이 되는 사기성 환경을 만듭니다. 이 스텔스 솔저 캠페인의 초기 흔적은 2022년 10월로 거슬러 올라갈 수 있으며, 이는 공격자들이 상당한 기간 동안 활발히 활동하고 있음을 나타냅니다.

Stealth Soldier 멀웨어 운영자는 사회 공학 전술을 사용합니다.

공격 캠페인은 사회 공학 전술을 통해 악성 다운로더 바이너리를 다운로드하도록 속이는 잠재적인 대상으로 시작됩니다. 이 기만적인 바이너리는 Stealth Soldier 멀웨어를 전달하는 수단으로 사용되는 동시에 겉보기에 무해해 보이는 미끼 PDF 파일을 표시하여 피해자의 주의를 분산시킵니다.

Stealth Soldier 맬웨어가 성공적으로 배포되면 맞춤형 모듈 이식이 활성화됩니다. 탐지를 피하기 위해 드물게 사용되는 것으로 여겨지는 이 임플란트는 맬웨어에 다양한 감시 기능을 제공합니다. 디렉토리 목록과 브라우저 자격 증명을 수집하고, 키 입력을 기록하고, 장치 마이크의 오디오를 녹음하고, 스크린샷을 캡처하고, 파일을 업로드하고, PowerShell 명령을 실행합니다.

악성코드는 다양한 유형의 명령을 사용합니다. 일부 명령은 C&C(Command-and-Control) 서버에서 다운로드되는 플러그인인 반면 다른 명령은 맬웨어 자체에 내장된 모듈입니다. 이 모듈식 접근 방식은 맬웨어 기능의 유연성과 적응성을 허용합니다. 또한 Stealth Soldier의 3가지 버전이 발견된 것을 보면 운영자가 악성 코드를 적극적으로 유지 관리하고 업데이트하고 있음을 알 수 있습니다.

Stealth Soldier의 일부 구성 요소는 더 이상 액세스할 수 없지만 분석 결과 화면 캡처 및 브라우저 자격 증명 도용과 같은 특정 기능은 GitHub에서 사용할 수 있는 오픈 소스 프로젝트에서 영감을 받은 것으로 나타났습니다. 이는 Stealth Soldier 배후의 위협 행위자가 기존 도구에서 영감을 얻어 맞춤형 악성 코드에 통합하여 기능과 효과를 강화했음을 시사합니다.

이전에 기록된 맬웨어 작업과의 유사점

또한 스텔스 솔저가 사용하는 인프라가 나일강의 눈(Eye on the Nile)으로 알려진 이전 피싱 캠페인과 연결된 인프라와 유사하다는 사실이 밝혀졌습니다. 나일강의 눈 캠페인은 2019년 이집트 언론인과 인권 운동가를 표적으로 삼았습니다.

이러한 발전은 두 캠페인 모두에 책임이 있는 위협 행위자의 부활 가능성을 나타냅니다. 이는 이 그룹이 특히 이집트와 리비아의 개인을 대상으로 감시 활동을 수행하는 데 중점을 두고 있음을 시사합니다.

맬웨어의 모듈식 특성과 여러 감염 단계의 활용을 고려할 때 공격자가 계속해서 전술과 기술을 조정할 가능성이 높습니다. 이러한 적응력은 위협 행위자가 가까운 장래에 업데이트된 버전의 맬웨어를 릴리스할 가능성이 있음을 의미하며 잠재적으로 새로운 기능과 회피 기동을 도입하여 감시 목표를 달성할 수 있습니다.