Multi-License Discount Quote
위협 데이터베이스 Malware GoGra 백도어

GoGra 백도어

Malware, Backdoors년에 Mezo 년까지
번역 :
한국어

2023년 11월, 남아시아 미디어 기관이 GoGra라는 새로 발견된 Go 기반 백도어를 사용하여 표적이 되었습니다. Go 프로그래밍 언어로 작성된 이 맬웨어는 Microsoft Graph API를 활용하여 Microsoft 메일 서비스에 호스팅된 명령 및 제어(C&C) 서버와 통신합니다. 지금까지 GoGra가 대상 환경에 전달되는 방법은 알려지지 않았습니다. 특히, GoGra는 사용자 이름이 'FNU LNU'인 Outlook 계정의 메시지, 특히 제목 줄이 'Input'으로 시작하는 메시지를 읽도록 설계되었습니다.

GoGra는 이전에 발견된 맬웨어와 유사점을 공유합니다.

메시지 내용은 특정 키를 사용하여 Cipher Block Chaining(CBC) 모드에서 AES-256 알고리즘을 사용하여 복호화됩니다. 복호화 후 cmd.exe를 통해 명령을 실행합니다. 그런 다음 결과를 암호화하여 'Output'이라는 제목으로 동일한 사용자에게 다시 보냅니다. GoGra는 Graphon 이라는 사용자 지정 .NET 임플란트와 유사하기 때문에 Harvester 라는 국가 해킹 그룹에서 개발한 것으로 여겨지는데, Graphon도 명령 및 제어(C&C) 기능에 Graph API를 사용합니다.

위협 행위자들이 합법적인 클라우드 서비스를 점점 더 악용하고 있습니다.

위협 행위자들은 전용 인프라와 관련된 비용을 피하고 신중함을 유지하기 위해 합법적인 클라우드 서비스를 점점 더 많이 악용하고 있습니다.

이러한 추세의 대표적인 사례는 다음과 같습니다.

  • 파이어플라이 : 동남아시아의 군사 조직에 대한 사이버 공격에 사용된 새로운 데이터 유출 도구. 수집된 데이터는 하드코딩된 새로 고침 토큰을 사용하여 Google Drive에 업로드됩니다.
  • Grager : 2024년 4월에 대만, 홍콩, 베트남의 조직을 표적으로 삼은 새로운 백도어가 발견되었습니다. Graph API를 통해 Microsoft OneDrive에 호스팅된 명령 및 제어(C&C) 서버와 통신합니다. 이 활동은 UNC5330으로 알려진 의심되는 중국 위협 행위자와 잠정적으로 연결되어 있습니다.
  • MoonTag : Graph API와 상호작용하는 기능을 갖춘 백도어로, 중국어를 구사하는 위협 행위자에게 기인한 것으로 추정됩니다.
  • Onedrivetools : 미국과 유럽의 IT 서비스 회사를 상대로 사용되는 백도어입니다. Graph API를 사용하여 OneDrive의 C&C 서버와 통신하고 명령을 실행하고 동일한 플랫폼에 출력을 저장합니다.

명령 및 제어에 클라우드 서비스를 사용하는 것은 새로운 기술은 아니지만 최근 공격자들 사이에서 이 기술을 채택하는 사례가 증가하고 있습니다.

백도어 감염의 위험

백도어 맬웨어는 영향을 받는 조직이나 사용자에게 다음을 포함한 심각한 위험을 초래합니다.

  • 무단 액세스 : 백도어는 공격자에게 시스템에 대한 숨겨진 액세스를 제공하여 정상적인 인증 메커니즘을 우회할 수 있도록 합니다. 이러한 무단 액세스는 민감한 데이터와 중요한 시스템의 손상으로 이어질 수 있습니다.
  • 데이터 도난 : 공격자는 백도어를 사용하여 개인 데이터, 지적 재산 및 재무 기록을 포함한 기밀 정보를 빼낼 수 있습니다. 이렇게 수집된 데이터는 신원 도용, 기업 스파이에 사용되거나 다크 웹에서 판매될 수 있습니다.
  • 시스템 제어 및 조작 : 백도어가 설치되면 공격자는 영향을 받는 시스템을 제어할 수 있습니다. 이 제어를 통해 명령을 실행하고, 추가 맬웨어를 설치하고, 시스템 구성을 변경하거나, 데이터를 조작할 수 있습니다.
  • 네트워크 침해 : 백도어는 종종 네트워크 내에서 측면 이동을 용이하게 합니다. 공격자는 초기 침해를 이용해 연결된 시스템을 가로질러 측면 이동을 할 수 있으며, 잠재적으로 전체 네트워크에 영향을 미치고 공격 범위를 늘릴 수 있습니다.
  • 운영 중단 : 백도어 맬웨어는 시스템 장애를 일으키거나, 중요한 파일을 삭제하거나 암호화하거나, 성능 문제를 일으켜 정상적인 비즈니스 운영을 중단시킬 수 있습니다. 이는 운영 중단 및 재정적 손실을 초래할 수 있습니다.
  • 간첩 및 감시 : 백도어는 간첩 활동에 사용될 수 있으며, 공격자는 이를 통해 사용자 활동, 통신 및 상호작용을 모니터링하고 기록할 수 있습니다. 이러한 감시는 개인 정보를 침해하고 민감한 정보의 유출로 이어질 수 있습니다.
  • 평판 손상 : 백도어 맬웨어의 존재는 조직의 좋은 평판을 손상시켜 고객의 신뢰와 확신을 잃게 할 수 있습니다. 이는 사업 관계와 시장 지위에 장기적인 영향을 미칠 수 있습니다.
  • 규제 및 법적 결과 : 조직은 민감한 데이터를 보호하지 못하면 법적 및 규제적 결과에 직면할 수 있습니다. 백도어 맬웨어와 관련된 데이터 침해는 벌금, 법적 조치 및 규정 준수 문제로 이어질 수 있습니다.

요약하자면, 백도어 맬웨어는 보안, 개인정보 보호, 운영상의 무결성을 손상시킬 수 있는 다면적인 위협을 나타내므로 조직과 사용자는 강력한 보안 조치를 취하고 잠재적인 침입에 대비해 항상 경계하는 것이 필수적입니다.

트렌드

Ksearchy

잠재적으로 원하지 않는 프로그램, Browser Hijackers
오늘날의 디지털 환경에서는 사용자가 침입적이고 신뢰할 수 없는 잠재적으로 원하지 않는 프로그램(PUP)으로부터 장치를 보호하는 것이 중요합니다. 이러한 프로그램은 보안과 개인 정보 보호를 손상시킬 수 있으므로 해당 위험과 이를 방지하는 방법을 이해하는 것이 필수적입니다. PUP 이해: 애드웨어 및 브라우저 하이재커 기능 PUP는 사용자가 종종 실수로...

LYRA 얼리 어답터 사기

Phishing, Spam
LYRA 얼리 어답터 사기는 사기꾼이 합법적인 LYRA 웹사이트(lyra[.]finance)의 사기 복사본을 만드는 사기 수법입니다. 이 가짜 사이트인 Register-lyra[.]finance는 의심하지 않는 방문자를 속여 암호화폐 자금을 손실하게 만드는 것을 목표로 합니다. 사용자는 이 사기 사이트와 상호 작용을 피하는 것이 좋습니다. 연방거래위원회(FTC)에 따르면 2021년 초부터 46,000명이 넘는 사람들이 다양한 사기로 인해 10억 달러 이상의 암호화폐를 잃었다고 보고했습니다. 이 금액은 분실 신고된 4달러 중 약 1달러에 해당하며 암호화폐 사기가 재정적 손실의 주요 방법이 됩니다. "LYRA 얼리 어답터" 사기 세부 정보 Lyra(lyra[.]finance)는 정확하고 편향된 가격으로...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
84,081
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
64,614
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...