블랙문 뱅킹 트로이목마
사이버 보안 분석가들은 인도 개인 및 기관을 대상으로 하는 다단계 침입 캠페인이 활발히 진행 중임을 발견했습니다. 이 작전은 사이버 스파이 활동의 성격을 띠며, 여러 겹의 백도어 구조를 이용하여 침해된 시스템에 장기간 은밀하게 접근하는 것을 목표로 합니다.
목차
피싱은 초기 감염 경로입니다.
이 캠페인은 인도 국세청의 공식 서신으로 위장한 피싱 이메일로 시작됩니다. 이러한 메시지는 수신자가 세금 체납 고지서라는 명목으로 ZIP 압축 파일을 다운로드하도록 유도합니다. 압축 파일을 열면 감염 과정이 시작되어 궁극적으로 지속적인 모니터링과 데이터 탈취로 이어집니다.
무기화된 아카이브와 은밀한 처형
배포된 ZIP 파일에는 'Inspection Document Review.exe'라는 미끼 실행 파일을 제외한 모든 구성 요소가 숨겨져 있으며, 이 파일은 아카이브에 내장된 악성 동적 링크 라이브러리(DLL)를 사이드로드하는 데 악용됩니다. 악성 DLL은 디버거 회피 검사를 수행하고 원격 명령 및 제어 서버와 통신하여 다음 단계 페이로드를 가져옵니다.
권한 상승 및 프로세스 위장
다운로드된 셸코드는 COM 기반 기술을 이용하여 사용자 계정 제어(UAC)를 우회하고 관리자 권한을 획득합니다. 그런 다음 자체 프로세스 환경 블록(PEB)을 변경하여 정상적인 Windows explorer.exe 프로세스를 가장함으로써 보안 도구 및 분석가에 의한 탐지 가능성을 줄입니다.
적응형 페이로드 전달
다음 단계인 '180.exe'는 eaxwwyr[.]cn 도메인에서 가져옵니다. 이 파일은 32비트 Inno Setup 설치 프로그램으로, 감염된 호스트에 특정 보안 소프트웨어가 있는지 여부에 따라 실행 흐름을 변경하여 악성코드가 회피 전략을 동적으로 조정할 수 있도록 합니다.
보안 소프트웨어 회피 및 블랙문 연동
방어 소프트웨어가 감지되면 악성코드는 직접적인 비활성화를 회피합니다. 대신 마우스 움직임을 모방하여 보안 인터페이스를 탐색하고 악성 구성 요소를 제외 목록에 조용히 추가합니다. 이러한 활동은 블랙문(KRBanker) 악성코드 계열의 변종으로 추정되는 DLL에 의해 수행되며, 이 악성코드는 2015년 등장 이후 한국, 미국, 캐나다의 기업을 대상으로 한 공격과 관련이 있습니다.
합법적인 기업 도구의 남용
제외 목록에 추가된 파일 중 하나는 SyncFutureTec Company Limited에서 제공하는 정식 유틸리티인 'Setup.exe'입니다. 이 프로그램은 SyncFuture TSM(터미널 보안 관리)으로 식별되는 'mysetup.exe' 파일을 드롭하는데, 이는 Nanjing Zhongke Huasai Technology Co., Ltd.에서 개발한 상용 원격 모니터링 및 관리 솔루션입니다. 기업 관리용으로 설계되었지만, 이번 공격에서는 포괄적인 스파이 플랫폼으로 악용되고 있습니다.
지원 구성 요소 및 시스템 조작
배포 후 환경을 준비하고 제어하기 위해 추가 요소가 설치됩니다.
- 사용자 지정 디렉터리를 생성하고, 액세스 제어 목록을 수정하고, 바탕 화면 권한을 변경하고, 정리 및 복원 작업을 수행하는 배치 스크립트입니다.
- 서비스를 조정하고 광범위한 활동 로깅을 가능하게 하는 오케스트레이터 실행 파일인 'MANC.exe'.
운영상 영향 및 전략적 중요성
공격자들은 합법적인 기업용 도구와 맞춤형 악성 소프트웨어를 악용하여 감염된 엔드포인트에 대한 원격 제어, 사용자 활동에 대한 지속적인 가시성 확보, 그리고 민감한 데이터 유출을 위한 중앙 집중식 메커니즘을 구축합니다. DLL 사이드 로딩, 권한 상승, 상용 도구의 용도 변경, 분석 방지 조치, 보안 소프트웨어 회피 등의 조직적인 사용은 높은 수준의 기술적 성숙도와 침해된 시스템에 대한 지속적이고 세밀한 제어를 유지하려는 명확한 의도를 보여줍니다.
