다중 라이센스 할인 견적
위협 데이터베이스 피싱 PHANTOMPULSE RAT

PHANTOMPULSE RAT

피싱, 원격 관리 도구년에 Mezo 년까지
번역 :

정교한 사회공학적 공격이 시작되었습니다. 이 공격은 Obsidian을 초기 접근 경로로 활용하여 이전에 알려지지 않았던 Windows 원격 접속 트로이목마인 PHANTOMPULSE를 배포합니다. 특히 금융 및 암호화폐 분야 종사자를 대상으로 하며, 합법적인 도구에 대한 신뢰를 악용하여 기존의 보안 수준을 우회하는 방식을 사용합니다.

작전 REF6598: 전문 네트워크를 이용한 기만 행위

사이버 보안 연구원들이 REF6598로 명명한 이 캠페인은 링크드인과 텔레그램을 통해 고도의 사회공학적 기법을 사용합니다. 공격 대상은 처음에는 벤처 캐피털 회사와의 협업을 가장하여 접근합니다. 이후 대화는 사칭된 '파트너'들로 가득 찬 텔레그램 그룹 채팅으로 전환되어, 마치 파트너인 것처럼 위장합니다.

이러한 그룹 내에서는 금융 서비스와 암호화폐 유동성 전략에 대한 논의가 활발하게 이루어지며, 이는 신뢰도를 높이는 데 기여합니다. 피해자들은 최종적으로 제공된 자격 증명을 사용하여 클라우드 기반 Obsidian 금고를 통해 공유 대시보드에 접속하도록 안내받습니다.

숨겨진 방아쇠: 악의적인 금고 활성화

감염 경로는 피해자가 Obsidian 내의 공유 저장소를 열 때 시작됩니다. 이 단계에서 사용자는 기본적으로 비활성화된 '설치된 커뮤니티 플러그인'의 동기화를 활성화하라는 메시지를 받게 됩니다. 이 수동 작업은 내장된 악성 설정이 실행될 수 있도록 허용하기 때문에 매우 중요합니다.

공격자는 Shell Commands 및 Hider와 같은 합법적인 플러그인을 악용하여 승인되지 않은 코드를 실행합니다. Shell Commands는 코드 실행을 용이하게 하고, Hider는 상태 표시줄 및 툴팁과 같은 인터페이스 요소를 숨겨 탐지 가능성을 낮춥니다. 이 공격은 사용자가 플러그인 동기화를 활성화하도록 유도하여 내장된 보안 장치를 우회하는 데 전적으로 달려 있습니다.

의도적인 회피: 합법적인 기능을 이용해 살아가는 방법

이 캠페인은 소프트웨어 취약점을 악용하기보다는 신뢰할 수 있는 애플리케이션 기능을 전략적으로 악용했다는 점에서 두드러집니다. 주요 특징은 다음과 같습니다.

  • 악성 페이로드는 JSON 설정 파일 내에 숨겨져 있어 기존 안티바이러스 탐지 시스템에 걸릴 가능성이 낮습니다.
  • 실행은 서명된 Electron 기반 애플리케이션을 통해 수행되므로 상위 프로세스 기반 탐지가 복잡해집니다.
  • 지속성 및 명령 실행은 애플리케이션 내의 합법적인 플러그인 메커니즘에 전적으로 의존합니다.

윈도우 감염 경로: 로더에서 메모리 상주 백도어까지

Windows 시스템에서 이 공격은 PowerShell 기반 실행 체인을 시작하여 PHANTOMPULL이라는 중간 로더를 배포합니다. 이 로더는 PHANTOMPULSE를 직접 메모리에서 복호화하고 실행하여 디스크 기반 탐지를 회피합니다.

PHANTOMPULSE는 이더리움 네트워크에 쿼리를 보내 블록체인 기반의 명령 및 제어(C2) 해결 방식을 구현합니다. 하드코딩된 지갑 주소와 연결된 최신 거래 내역을 검색하여 C2 서버를 동적으로 결정합니다. 통신은 WinHTTP를 통해 이루어지므로 데이터 유출, 명령 검색 및 실행 보고가 가능합니다.

해당 악성 소프트웨어는 광범위한 원격 제어 기능을 지원합니다.

  • inject: 프로세스에 셸코드, DLL 또는 실행 파일을 주입합니다.
  • drop: 디스크에 파일을 쓰고 실행합니다.
  • 스크린샷: 화면 데이터를 캡처하여 업로드합니다.
  • 키로그: 키 입력 로깅을 활성화 또는 비활성화합니다.
  • 제거: 지속성 메커니즘을 제거하고 흔적을 정리합니다.
  • elevate: COM 권한 상승을 사용하여 SYSTEM 권한으로 상승시킵니다.
  • 권한 하향 조정: 시스템 관리자(SYSTEM) 수준에서 관리자 수준으로 권한을 낮춥니다.

macOS 버전: 난독화 및 유연한 C2 인프라

macOS에서 이 공격은 동일한 플러그인 메커니즘을 통해 전달되는 난독화된 AppleScript를 활용합니다. 이 스크립트는 미리 정의된 도메인 목록을 순환하며, C2 검색을 위한 대체 데드드롭 리졸버로 Telegram을 사용합니다. 이러한 설계 덕분에 인프라를 빠르게 교체할 수 있어 기존의 도메인 차단 전략을 무력화시킵니다.

마지막 단계는 osascript를 통해 보조 페이로드를 검색하고 실행하는 것입니다. 그러나 분석 당시 C2 서버가 비활성화되어 있어 이 페이로드의 전체 기능은 아직 파악되지 않았습니다.

공격 결과 및 전략적 함의

관찰된 침입 시도는 방어 조치로 인해 목표 달성 전에 탐지 및 차단되어 결국 실패로 끝났습니다. 그럼에도 불구하고 REF6598은 위협 행위자의 방법론에 있어 중요한 진화를 보여줍니다.

공격자들은 신뢰할 수 있는 애플리케이션을 악용하고 사용자가 설정을 변경하는 것을 이용하여 기존의 보안 제어를 효과적으로 우회합니다. 이러한 접근 방식은 합법적인 소프트웨어 기능을 은밀한 실행 채널로 악용하는 추세가 증가하고 있음을 보여주며, 사이버 보안 방어에 있어 사용자 경각심 제고와 행동 모니터링의 필요성을 강조합니다.

트렌드

Mightytechy.com

불량 웹사이트, 브라우저 하이재커, 잠재적으로 원하지 않는 프로그램
침입적이고 신뢰할 수 없는 애플리케이션으로부터 기기를 보호하는 것은 디지털 보안을 유지하는 데 매우 중요합니다. 특히 브라우저 하이재커와 관련된 잠재적으로 원치 않는 프로그램(PUP)은 시스템 동작을 조용히 변경하고, 사용자를 위험에 노출시키며, 개인정보를 침해할 수 있습니다. 이러한 위협의 대표적인 예가 악성 브라우저 변조와 연관된 의심스러운 검색...

Panneyess.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
인터넷을 검색할 때 주의를 기울이는 것이 그 어느 때보다 중요합니다. 악성 웹사이트는 사용자의 부주의와 신뢰를 악용하도록 설계되었으며, 종종 기만적인 수법을 사용하여 사용자를 속여 위험한 결정을 내리도록 유도합니다. 점점 더 흔해지는 수법 중 하나는 가짜 CAPTCHA 인증을 통해 방문자가 '허용' 버튼을 클릭하도록 속이는 것입니다. 이렇게 되면...

AI 기반 푸슈파간다 사기

스팸
사이버 보안 연구원들이 검색 엔진 최적화(SEO) 조작과 인공지능 기반 콘텐츠 조작을 결합한 정교한 광고 사기 캠페인인 '푸쉬파간다(Pushpaganda)'를 발견했습니다. 이 캠페인은 특히 구글 디스커버와 같은 콘텐츠 검색 플랫폼을 조작하여 합법적으로 보이는 허위 뉴스 기사를 홍보하는 것을 목표로 합니다. 궁극적인 목적은 사용자를 속여 브라우저 알림을 활성화하게 만드는 것이며, 이렇게 활성화된 알림은 스케어웨어 및 금융 사기 유포 채널로 악용됩니다. 주로 안드로이드 및 크롬 사용자를 대상으로 하는 이 캠페인은 개인 맞춤형 콘텐츠 피드를 악용하여 악성 콘텐츠를 의심하지 않는 개인에게 직접 전달합니다. 클릭부터 침해까지: 공격 사슬은 어떻게 작동하는가 푸슈파간다의 성공은 치밀하게 계획된...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
33,810
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
28,868
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

에포르너닷컴

문제
24,865
인터넷은 유용한 콘텐츠, 엔터테인먼트, 정보로 가득한 광활한 공간이지만, 어두운 구석도 있습니다. TV 프로그램을 스트리밍하든, 앱을 다운로드하든, 성인 콘텐츠 플랫폼을 방문하든 항상 경계해야 합니다. 많은 사이트, 특히 공격적인 광고로 성행하는 사이트는 심각한 보안 위험을 초래할 수 있습니다. 이러한 우려를 불러일으킨 사이트 중 하나가 바로...
로드 중...