다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 LoptikMod 맬웨어

LoptikMod 맬웨어

멀웨어, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

DoNot APT 그룹의 소행으로 추정되는 새로운 캠페인이 발견되었습니다. 이 캠페인은 LoptikMod라는 은밀하고 지속적인 악성코드 변종을 사용하는 모습을 보여줍니다. 이 도구는 유럽 외교부를 표적으로 삼은 표적 공격에 활용되었으며, 이는 해당 그룹의 활동 영역이 남아시아를 넘어 다른 지역으로 확장되고 있음을 시사합니다.

영향력이 확대되는 알려진 위협 행위자

이 캠페인은 APT-C-35, 민트 템페스트, 오리가미 엘리펀트, SECTOR02, 바이스로이 타이거 등 다양한 가명으로 알려진 정교한 지능형 지속 위협(APT) 그룹인 DoNot 팀과 연관되어 있습니다. 최소 2016년부터 활동을 시작한 이 그룹은 특히 남아시아와 유럽의 정부 기관, 외교부, 국방 기관, NGO를 표적으로 삼아 온 것으로 기록되어 있습니다.

역사적으로 DoNot APT는 YTY와 GEdit 등 맞춤형 맬웨어를 사용해 왔으며, 이는 종종 스피어 피싱 캠페인과 악성 문서 첨부 파일의 형태로 배포되었습니다.

타겟 유인: 진입점으로서의 피싱

공격은 합법적이고 신뢰할 수 있는 것처럼 보이도록 제작된 사기성 피싱 이메일로 시작됩니다. Gmail 계정에서 발송된 이 메시지는 국방부 관계자를 사칭하고 있으며, 제목에는 방글라데시 다카에 주재하는 이탈리아 국방무관의 방문을 언급하고 있습니다. 특히, 이 이메일은 UTF-8 인코딩을 사용한 HTML 형식으로 작성되어 'é'와 같은 특수 문자를 정확하게 표현하여 신뢰성을 더합니다.

이메일에 포함된 Google 드라이브 링크는 RAR 아카이브 다운로드로 연결됩니다. 이 아카이브에는 PDF 파일을 모방하도록 설계된 악성 실행 파일이 포함되어 있습니다. 실행 파일이 열리면 최소 2018년부터 DoNot APT에서만 사용되어 온 원격 액세스 트로이 목마(RAT)인 LoptikMod가 배포됩니다.

LoptikMod 맬웨어 내부

LoptikMod는 실행 후 예약된 작업을 사용하여 호스트 시스템에 침투하여 지속성을 유지합니다. 그런 다음 원격 명령 및 제어(C2) 서버에 연결하여 다양한 악성 활동을 수행합니다. 이러한 활동은 다음과 같습니다.

  • 공격자에게 시스템 정보를 다시 전송합니다.
  • 추가 명령 수신 및 실행
  • 추가 악성 모듈 다운로드
  • 민감한 데이터 유출

탐지를 피하고 포렌식 분석을 방해하기 위해 LoptikMod는 안티 VM(가상 머신) 기술과 ASCII 난독화를 사용하여 보안 연구원이 전체 기능을 분석하기 어렵게 만듭니다. 또한, 한 기기에서 항상 하나의 인스턴스만 실행되도록 하여 내부 충돌을 방지하고 탐지 가능성을 줄입니다.

현재 캠페인 상태 및 인프라

LoptikMod 자체는 강력하고 지속적인 공격을 감행하지만, 최근 공격에 연루된 C2 서버는 현재 비활성 상태입니다. 이러한 비활성 상태는 해당 인프라가 일시적으로 오프라인 상태가 되었거나, 영구적으로 중단되었거나, 발견되지 않은 새로운 서버로 교체되었음을 의미할 수 있습니다.

서버의 비활성 상태로 인해 연구자들이 감염된 엔드포인트와 공격자 간에 교환된 정확한 명령과 데이터를 분석하는 능력이 제한됩니다.

전략적 변화의 징후: 유럽 목표에 주목

DoNot APT의 최근 활동은 진화의 조짐을 보이고 있습니다. 이 단체는 전통적으로 남아시아의 이익에 집중해 왔지만, 이번 작전은 유럽 외교 정보, 특히 남아시아 관련 정보에 대한 관심이 커지고 있음을 보여줍니다.

이러한 변화는 향상된 작전 역량과 더욱 야심찬 정보 수집 목표를 시사하는 것으로 보입니다. 이 단체의 담당자들은 서방의 외교 전략, 국방 정책, 그리고 남아시아와의 국제적 협력에 대한 통찰력을 얻고자 할 가능성이 있습니다.

주요 내용

이러한 공격을 효과적으로 완화하려면 조직은 메시지가 매우 합법적으로 보이더라도 피싱 시도를 인지하도록 직원을 교육하는 것부터 시작해야 합니다. 예상치 못한 예약된 작업이나 낯선 서버로의 아웃바운드 연결과 같이 침해의 징후일 수 있는 비정상적인 동작이 있는지 시스템을 지속적으로 모니터링하는 것 또한 중요합니다.

또한 샌드박싱 및 행동 분석 도구를 구현하면 의심스러운 실행 파일이 피해를 입히기 전에 탐지하고 무력화하는 데 도움이 될 수 있습니다. 시스템에 패치를 완벽하게 적용하고 최신 위협 인텔리전스 피드를 통합하면 알려진 취약점을 신속하게 해결할 수 있습니다. 마지막으로, 네트워크를 세분화하면 악성코드의 측면 확산 위험을 크게 줄여 잠재적 침해를 더욱 효과적으로 억제할 수 있습니다.

결론: 경계는 필수입니다

DoNot APT 그룹이 유럽 사이버 스파이 활동에 LoptikMod를 사용한 것은 진화하는 위협 환경을 여실히 보여줍니다. APT 그룹이 도구를 지속적으로 강화하고 특히 고가의 외교 자산을 겨냥한 공격 대상을 확대함에 따라, 조직은 사이버 보안 방어에 있어 경계를 늦추지 않고 선제적으로 대응해야 합니다.

트렌드

Ijony.click

불량 웹사이트, 애드웨어
Infosec 연구원들은 Ijony.click 페이지가 운영자가 온라인 전술을 실행하기 위한 플랫폼으로 사용하는 악성 웹사이트임을 확인했습니다. 실제로, 사이트는 방문자를 속이기 위해 평판이 좋은 정보 보안 소스에서 오는 것처럼 표시되는 수많은 가짜 보안 경고를 표시하는 것으로 관찰되었습니다. 이러한 의심스러운 페이지는 종종 합법적인 컴퓨터 보안...

Unmatiotorly.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
사기꾼들은 인터넷 사용자를 속이기 위해 끊임없이 새로운 수법을 고안합니다. 이러한 사기 수법의 대부분은 정교한 악성코드에 의존하는 것이 아니라 사용자의 신뢰와 주의력 저하를 악용합니다. 이러한 사기성 플랫폼 중 하나는 사용자를 조종하여 악성 브라우저 알림을 활성화하도록 설계된 악성 웹사이트인 Unmatiotorly.com입니다. 이 사이트의 운영...

IlexAquifolium

잠재적으로 원하지 않는 프로그램
기술의 세계에서 편리함은 대가를 치르는 경우가 많습니다. 브라우저 확장 프로그램은 온라인 경험을 향상시킬 수 있지만 일부는 겉보기에 순진해 보이는 겉모습 뒤에 안전하지 않은 의도를 숨기고 있습니다. IlexAquifolium은 그러한 예 중 하나입니다. 즉, PUP(잠재적으로 원하지 않는 프로그램) 및 다양한 사이버 위협의 벡터 역할을 모두 수행하면서...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
59,521
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
46,898
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

Discord가 회색 화면에 멈춤

문제
45,974
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
로드 중...