DarkMe 악성코드

최근 Microsoft Defender SmartScreen에서 밝혀진 보안 취약점은 Water Hydra(DarkCasino라고도 함)로 알려진 지능형 지속 위협 그룹에 의해 제로데이 공격으로 활용되었습니다. 이 공격의 주요 목표는 금융 시장 거래에 관여하는 개인입니다. 연구원들은 2023년 12월에 이 악성 캠페인을 발견했습니다.

공격자는 인터넷 바로가기 파일(.URL)과 관련된 보안 우회 취약점인 CVE-2024-21412를 이용하고 있습니다. 공격 시퀀스에서 위협 행위자는 CVE-2024-21412를 활용하여 Microsoft Defender SmartScreen을 우회하고 DarkMe 악성 코드를 도입하여 의심하지 않는 피해자를 감염시킵니다.

Microsoft는 이후 2월 패치 화요일 업데이트에서 이 취약점을 해결했습니다. 회사에 따르면, 인증되지 않은 해커는 특별히 제작된 파일을 대상 사용자에게 전송하여 보안 검사를 우회할 수 있도록 함으로써 이 결함을 이용할 수 있습니다. 그러나 악용의 성공 여부는 위협 행위자가 피해자가 파일 링크를 클릭하여 공격자가 제어하는 콘텐츠를 보도록 설득하는 데 달려 있습니다.

DarkMe 악성코드는 다단계 공격 체인을 통해 배포됩니다.

DarkMe는 추가 명령을 다운로드하고 실행할 수 있을 뿐만 아니라 명령 및 제어(C2) 서버에 자신을 등록하고 손상된 시스템에서 정보를 수집하는 기능도 보여줍니다.

관찰된 감염 과정에서 CVE-2024-21412 익스플로잇을 사용하여 유해한 설치 프로그램 파일('7z.msi')을 배포했습니다. 이는 피해자가 외환 거래 포럼을 통해 유포되는 부비트랩 URL('fxbulls.ru')을 클릭하도록 유도함으로써 달성됩니다. 미끼는 주식 차트 이미지에 대한 링크를 공유하는 것처럼 가장하여 제공됩니다. 그러나 실제 링크 내용은 인터넷 바로가기 파일('photo_2023-12-29.jpg.url')입니다.

'fxbulls.ru'의 랜딩 페이지에는 신중하게 제작된 필터링된 보기를 통해 위협적인 WebDAV 공유로 연결되는 링크가 있습니다. 사용자가 이 링크를 클릭하면 브라우저는 Windows 탐색기에서 해당 링크를 열라는 메시지를 표시합니다. 특히 이는 보안 프롬프트를 트리거하지 않으며 잠재적으로 사용자가 링크의 안전하지 않은 특성을 간과하게 만듭니다.

이 계획의 주목할 만한 측면은 위협 행위자가 Windows에서 데스크톱 검색 애플리케이션을 호출하는 데 일반적으로 사용되는 검색 애플리케이션 프로토콜을 악용한다는 것입니다. 이 프로토콜은 과거에 맬웨어를 전달하는 데 오용되었습니다. 이 프로토콜에 대한 공격자의 영리한 조작은 감염 과정에 추가적인 속임수 계층을 추가합니다.

APT(지능형 지속 위협) 그룹은 종종 제로데이 취약점을 악용합니다.

DarkMe 감염 체인에 사용되는 참조에 대한 이러한 독특한 접근 방식은 SmartScreen을 우회하는 데 효과적인 것으로 입증된 다른 바로 가기 내의 바로 가기를 활용하는 데서 발생합니다. 이 경우 SmartScreen은 신뢰할 수 없는 소스에서 파일을 열거나 실행할 때 사용자에게 경고하도록 설계된 중요한 Windows 구성 요소인 MotW(Mark of the Web)를 적절하게 적용하지 못합니다.

이 캠페인의 궁극적인 목표는 DarkMe로 알려진 Visual Basic 트로이 목마를 백그라운드에서 은밀하게 전달하는 것입니다. 동시에 캠페인은 피해자에게 주식 그래프를 표시하여 기만적인 외관을 유지하고 착취 및 감염 사슬의 본질을 숨깁니다.

흔히 사이버 범죄 그룹에 의해 식별되는 새로 발견된 제로데이 취약점이 국가 해킹 그룹의 무기고에 침투할 수 있다는 점은 주목할 만합니다. Water Hydra와 같은 정교한 공격자는 고급 캠페인에서 제로데이 취약점을 찾아 악용하는 데 필요한 기술 전문 지식과 도구를 보유하고 있습니다. 이를 통해 DarkMe와 같은 매우 파괴적인 악성 코드를 배포하여 복잡하고 강력한 공격을 실행할 수 있는 능력을 선보일 수 있습니다.