Multi-License Discount Quote
위협 데이터베이스 Malware IDAT 로더

IDAT 로더

Malware, Advanced Persistent Threat (APT), Trojan Downloader년에 Mezo 년까지
번역 :
한국어

사이버 보안 연구원들은 Remcos RAT라고 불리는 우크라이나 트로이 목마에 대한 위협으로 식별된 공격 캠페인을 발견했습니다. 이 공격 캠페인은 IDAT 로더로 알려진 악성 코드 로더에 의해 촉진되었습니다. 위협 행위자를 UAC-0184(TA544)로 추적하는 우크라이나 컴퓨터 긴급 대응 팀(CERT-UA)은 이 공격을 공격으로 간주했습니다.

IDAT Loader를 사용하여 실행되는 공격에는 스테가노그래피 기술이 포함되어 있습니다. 비록 스테가노그래피 또는 '스테고' 기술이 널리 알려져 있습니다. 스테가노그래픽 기술에는 관심을 끌지 않고 은밀한 통신을 가능하게 하기 위해 이미지, 오디오 파일 또는 기타 디지털 콘텐츠 내의 데이터를 숨기는 등 다른 매체 내에 정보를 숨기는 작업이 포함됩니다. 방어 조치를 회피하는 데 있어 그들의 역할을 이해하는 것이 중요합니다.

IDAT 로더는 다음 단계 악성코드 페이로드의 전달을 촉진합니다

Hijack Loader라는 다른 로더 제품군과 유사한 IDAT 로더는 몇 달에 걸쳐 DanaBot , SystemBCRedLine Stealer를 포함한 다양한 페이로드를 적극적으로 배포해 왔습니다. 이 로더는 TA544로 식별된 위협 행위자가 피싱 공격을 통해 Remcos RAT 및 SystemBC를 전파하기 위해 사용했습니다.

2024년 1월 초 CERT-UA가 처음 공개한 피싱 캠페인에는 전쟁을 주제로 한 미끼를 사용하여 감염 사슬을 시작하는 것이 포함됩니다. 이 체인은 궁극적으로 내장된 스테가노그래픽 PNG를 활용하여 Remcos RAT를 찾고 추출하는 IDAT 로더의 배포로 이어집니다.

Remcos RAT는 사이버 범죄 캠페인에 자주 배포됩니다.

REMCOS RAT는 사이버 범죄와 간첩 활동 모두에 광범위하게 사용되는 널리 퍼진 원격 액세스 트로이 목마입니다. 컴퓨터 제어 능력으로 유명한 REMCOS는 키 입력, 오디오, 비디오, 스크린샷 및 시스템 데이터를 수집하는 동시에 추가 악성 코드 페이로드 전달을 촉진할 수 있습니다. 일반적으로 이 악성 코드는 악성 첨부 파일이나 링크가 포함된 피싱 이메일을 통해 전파되어 RAT가 설치됩니다. 특히 REMCOS는 악성코드 로더 등 다양한 수단을 통해 유포되는 것으로 관찰됐다. 해당 악성코드는 2010년대 중반부터 악의적으로 활용됐다.

REMCOS가 성공적으로 실행되면 위협 행위자는 대상 시스템에 대한 포괄적인 제어 및 감시 기능을 얻게 됩니다. 이를 통해 장기간에 걸쳐 민감한 데이터를 은밀하게 유출하여 잠재적으로 탐지를 피할 수 있습니다. 이러한 민감한 정보의 활용은 대상에 따라 피해자가 협박을 당할 위험, 회사 데이터가 손상된 경우 잠재적인 실직, 조직 데이터 도난의 위험을 수반합니다. 이렇게 훔친 데이터는 대규모의 정교한 공격을 조율하는 데 악용될 수 있으며, 이로 인해 영향을 받은 조직이나 개인의 생계에 심각하고 회복 불가능한 피해를 입힐 수 있습니다.

우크라이나는 러시아와 협력하는 해커 그룹의 사이버 범죄 공격 대상으로 남아 있습니다.

CERT-UA는 또한 우크라이나 군대가 사용하는 컴퓨터 시스템을 Cookbox 백도어로 감염시키는 것을 목표로 하는 표적화된 사이버 공격에 대해 경고했습니다.

CERT-UA에 따르면 신원이 밝혀지지 않은 개인이 보고서 작성에 문제가 있다고 주장하며 시그널 메신저를 통해 여러 군 관계자에게 '1_ф_5.39-2024.xlsm'이라는 XLS 문서를 배포했습니다. 해당 파일에는 'mob2002.data'라는 PowerShell 스크립트의 다운로드 및 실행을 트리거하는 추가 VBA 스크립트가 포함되어 있습니다.

GitHub에서 다운로드한 PowerShell 스크립트는 OS 레지스트리를 일부 변경합니다. 보다 구체적으로, 'HKEY_CURRENT_USER\SOFTWARE\Microsoft\XboxCache'에 base64로 인코딩된 페이로드를 드롭하며, 궁극적으로 Cookbox 악성코드를 실행합니다. Cookbox는 PowerShell cmdlet을 다운로드하고 실행하는 기능을 구현하는 PowerShell 스크립트입니다.

동적 DNS 서비스(예: gotdns.ch, myftp.biz)와 Cloudflare Workers는 명령 및 제어 서버 운영에 활용됩니다. 연구원들이 공개한 데이터에 따르면 UAC-0149로 추적되는 해당 활동은 적어도 2023년 가을부터 진행되고 있습니다.

트렌드

Diftefum.co.in

Rogue Websites, Adware, Browser Hijackers
잠재적으로 유해한 웹사이트를 조사하던 중 연구원들은 악성 페이지인 Diftefum.co.in을 발견했습니다. 이 특정 페이지는 브라우저 알림 스팸을 적극적으로 홍보하여 운영됩니다. 또한 웹사이트는 방문자를 종종 의심스러운 다른 사이트로 리디렉션할 수 있습니다. 사용자는 일반적으로 악성 광고 네트워크를 사용하는 웹사이트에서 시작된 리디렉션을 통해...

Lkhy 랜섬웨어

Ransomware
Lkhy에 대한 심층 분석을 통해 피해자의 데이터를 암호화하기 위해 특별히 제작된 위험한 악성 코드로서의 사악한 성격이 드러났습니다. 이 특정 범주의 맬웨어는 일반적으로 랜섬웨어로 알려져 있습니다. 이러한 위협 뒤에 있는 운영자의 주요 목표는 손상된 장치의 중요한 파일을 잠그고 영향을 받은 사용자 또는 조직에 몸값을 요구하는 것입니다. Lkhy...

UNIX 검색 브라우저 확장

잠재적으로 원하지 않는 프로그램, Browser Hijackers
정보 보안 연구원들은 UNIX 검색 애플리케이션을 철저히 조사한 후 이를 브라우저 하이재커로 식별했습니다. 이 애플리케이션은 unixsearch.com이라는 의심스러운 검색 엔진을 홍보하는 것으로 보입니다. 이 확장 프로그램은 설정을 수정하고 사용자가 다양한 유형의 데이터에 액세스하고 조작할 수 있도록 허용하여 사용자 브라우저를 제어합니다. 따라서...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
65,418
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
53,036
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...