다중 라이센스 할인 견적
위협 데이터베이스 원격 관리 도구 이중 페이로드 악성코드 캠페인

이중 페이로드 악성코드 캠페인

원격 관리 도구, 애드웨어년에 Mezo 년까지
번역 :

최근 발견된 악성코드 캠페인이 두 가지 서로 다른 위협을 동시에 배포할 수 있는 능력 때문에 사이버 보안 커뮤니티에서 큰 주목을 받고 있습니다. 이 캠페인은 난독화된 단일 로더를 사용하여 Gh0st RAT와 CloverPlus를 동일한 감염된 시스템에 배포합니다.

이러한 조합은 흔치 않으면서도 매우 전략적입니다. Gh0st RAT는 감염된 시스템에 대한 완전한 원격 제어를 가능하게 하는 반면, CloverPlus는 브라우저 활동 조작, 광고 요소 삽입, 그리고 성가신 팝업 광고를 통한 수익 창출에 중점을 둡니다. 이러한 이중 배포를 통해 공격자는 지속적인 무단 접근을 유지하면서 감염을 실시간으로 수익화할 수 있습니다.

이번 캠페인은 공격자들이 단일 침해를 통해 운영 효율성과 금전적 수익을 극대화하기 위해 여러 개의 페이로드를 동시에 전송하는 추세가 증가하고 있음을 보여줍니다.

난독화 전술: 페이로드 숨기기

이 캠페인의 핵심인 로더는 은밀성을 위해 설계되었습니다. 로더는 리소스 섹션 내에 두 개의 암호화된 페이로드를 내장하고, 난독화 기법을 사용하여 기존의 탐지 메커니즘을 회피합니다.

실행은 AdWare.Win32.CloverPlus로 식별되는 CloverPlus 애드웨어 모듈과 wiseman.exe라는 실행 파일로 시작됩니다. 이 구성 요소는 브라우저 시작 설정을 변경하고 지속적인 팝업 광고를 삽입합니다.

이어서 로더는 실행 경로를 평가합니다. 시스템의 %temp% 디렉터리에서 실행 중이 아니면, 해당 디렉터리에 자체 복사본을 생성한 후 진행합니다. 다음 단계는 악성코드 바이너리 내에 암호화된 리소스로 숨겨져 있는 Gh0st RAT 클라이언트 모듈을 복호화하는 것입니다.

암호 해독이 완료되면 악성 프로그램은 페이로드에 임의의 파일 이름을 지정하고 C:\ 드라이브의 루트에 있는 임의의 이름의 폴더에 저장하여 탐지 및 분석을 더욱 어렵게 만듭니다.

자연에서 살아가는 삶: 믿음직한 도구, 악의적인 의도

복호화된 페이로드를 실행하기 위해 악성코드는 정상적인 Windows 유틸리티인 rundll32.exe를 이용합니다. 이러한 접근 방식을 통해 악성코드는 신뢰할 수 있는 시스템 프로세스로 위장하여 실행되므로 보안 방어 시스템에 탐지될 가능성이 크게 줄어듭니다.

Gh0st RAT는 활성화되면 MAC 주소 및 하드 드라이브 일련 번호와 같은 고유 식별자를 수집하여 감염된 시스템의 프로파일링을 시작합니다. 이러한 정보는 공격자의 명령 및 제어 인프라에 피해자를 등록하는 데 사용되어 감염된 호스트를 정확하게 추적하고 관리할 수 있도록 합니다.

지속성 메커니즘: 장기적인 접근성 보장

시스템 재부팅 후에도 접근 권한을 유지하는 것이 이 캠페인의 핵심 목표입니다. Gh0st RAT는 운영 체제 깊숙이 내장된 여러 기술을 통해 지속성을 확보합니다.

Windows 시작 시 자동 실행되도록 Windows 실행 레지스트리 키를 수정합니다.
SYSTEM\CurrentControlSet\Services\RemoteAccess\RouterManagers\Ip 경로의 원격 액세스 서비스 경로에 악성 DLL이 등록되었습니다.

이러한 방법은 관련 서비스가 실행될 때마다 악성코드에 시스템 수준 권한을 부여하여 추가적인 사용자 상호 작용이 필요 없도록 하고 장기적인 제어를 강화합니다.

탐지 및 방어: 침해 지표

이 캠페인의 영향은 개인과 조직 모두에게 상당합니다. 애드웨어 구성 요소는 브라우저 기능을 방해하고 악성 광고 노출을 증가시키는 반면, RAT 구성 요소는 데이터 도용, 키 입력 기록, 보안 우회 및 지속적인 권한 접근을 가능하게 합니다.

보안팀은 다음과 같은 침해 징후를 지속적으로 경계하고 모니터링해야 합니다.

  • rundll32.exe 실행 시 비정상적이거나 의심스러운 디렉터리에서 DLL 또는 비표준 파일 확장자를 로드합니다.
  • %temp% 폴더에서 시작된 프로세스 활동
  • 레지스트리 실행 키 또는 원격 액세스 서비스 구성에 대한 무단 수정
  • 샌드박스 탐지를 회피하기 위한 핑 기반 지연 사용
  • 비정상적인 DNS 트래픽 패턴 및 시스템 호스트 파일의 예기치 않은 변경

이러한 신호에 대한 사전 예방적 모니터링과 신속한 대응은 정교한 이중 위협 악성코드 공격으로 인한 위험을 완화하는 데 매우 중요합니다.

트렌드

SnappyClient 멀웨어

멀웨어, 원격 관리 도구
SnappyClient는 C++로 작성되었으며 HijackLoader라는 로더를 통해 배포되는 고도로 정교한 악성 프로그램입니다. 이 프로그램은 원격 접속 트로이목마(RAT)처럼 작동하여 사이버 범죄자들이 감염된 시스템을 제어하고 민감한 데이터를 추출할 수 있도록 합니다. 시스템에 침투한 후에는 명령 및 제어(C2) 서버에 연결하여 명령을 수신하고...

Forestrievic.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
안전한 웹 서핑을 위해서는 끊임없는 경계가 필요합니다. 악성 웹사이트는 기만적인 기법을 통해 사용자의 신뢰를 악용하도록 설계되었으며, 점점 더 흔해지는 수법 중 하나는 가짜 CAPTCHA 인증입니다. 이러한 인증 메시지는 방문자에게 로봇이 아님을 확인하기 위해 '허용' 버튼을 클릭하도록 유도합니다. 하지만 실제로는 이 버튼을 클릭하면 해당 사이트가...

새로운 개인정보 보안 업데이트 이메일 사기임을 확인하세요

피싱, 스팸
긴급 조치를 요구하는 예상치 못한 이메일은 항상 주의해야 합니다. 사이버 범죄자들은 신뢰를 악용하고 공황 상태를 유발하기 위해 악성 메시지를 합법적인 알림으로 위장하는 경우가 많습니다. '새로운 개인정보 보안 업데이트 확인'과 같은 사기성 이메일은 아무리 공식적으로 보이더라도 어떠한 합법적인 회사, 기관 또는 단체와도 관련이 없다는 점을 반드시 인지해야 합니다. '개인정보 보호 보안 업데이트' 사기극을 자세히 살펴보겠습니다. 보안 분석 결과, 이러한 메시지는 수신자를 악성 웹사이트로 유도하기 위해 고안된 사기성 계정 정지 경고 메시지인 것으로 확인되었습니다. 이는 민감한 정보를 탈취하기 위해 속임수를 사용하는 피싱 공격의 전형적인 유형입니다. 이메일은 일반적으로 수신자의...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
33,415
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
28,614
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

에포르너닷컴

문제
22,306
인터넷은 유용한 콘텐츠, 엔터테인먼트, 정보로 가득한 광활한 공간이지만, 어두운 구석도 있습니다. TV 프로그램을 스트리밍하든, 앱을 다운로드하든, 성인 콘텐츠 플랫폼을 방문하든 항상 경계해야 합니다. 많은 사이트, 특히 공격적인 광고로 성행하는 사이트는 심각한 보안 위험을 초래할 수 있습니다. 이러한 우려를 불러일으킨 사이트 중 하나가 바로...
로드 중...