PLAYFULGHOST 맬웨어
사이버 보안 전문가들은 PLAYFULGHOST라는 새롭게 부상하는 위협을 식별했습니다. 이는 광범위한 정보 수집 기능을 갖춘 백도어입니다. 여기에는 키로깅, 화면 및 오디오 캡처, 원격 셸 액세스 및 파일 전송 또는 실행 기능이 포함됩니다.
목차
Gh0st RAT와의 연결
PLAYFULGHOST는 2008년 소스코드가 유출된 후 널리 사용 가능해진 잘 알려진 원격 관리 도구인 Gh0st RAT 과 기능적으로 유사한 점을 보입니다. 이는 PLAYFULGHOST의 배후에 있는 위협 행위자들이 기능을 확장하기 위해 개선 사항을 도입하면서 기존 도구를 기반으로 구축했을 가능성이 있음을 시사합니다.
초기 감염 벡터
PLAYFULGHOST의 배후에 있는 위협 행위자들은 여러 가지 기술을 사용하여 대상 시스템에 대한 초기 접근 권한을 얻습니다. 여기에는 행동 강령 관련 주제와 SEO 포이즈닝 전술을 활용하여 LetsVPN과 같은 합법적인 VPN 애플리케이션의 트로이 목마 버전을 배포하는 피싱 캠페인이 포함됩니다.
피싱 공격 시나리오에서 피해자는 오해의 소지가 있는 '.jpg' 확장자를 사용하여 이미지 파일로 위장한 손상된 RAR 아카이브를 열도록 속습니다. 압축을 풀고 실행하면 아카이브가 유해한 Windows 실행 파일을 드롭하고, 그 실행 파일은 원격 서버에서 PLAYFULGHOST를 검색하여 실행합니다.
반면 SEO 포이즈닝은 의심하지 않는 사용자를 유인하여 손상된 LetsVPN 설치 프로그램을 다운로드하도록 하는 데 사용됩니다. 이 설치 프로그램은 실행 시 중간 페이로드를 배포하여 백도어의 핵심 구성 요소를 가져와 활성화합니다.
고급 회피 및 실행 전술
PLAYFULGHOST는 다양한 스텔스 기술을 사용하여 탐지를 피하고 손상된 시스템에 발판을 마련합니다. 여기에는 DLL 검색 순서 하이재킹과 DLL 사이드로딩이 포함되어 손상된 DLL을 도입한 다음, 백도어를 해독하여 메모리에 주입합니다.
더 정교한 실행 방법에서 연구자들은 Windows 바로가기 파일('QQLaunch.lnk')을 사용하는 것을 관찰했습니다. 이 파일은 두 개의 추가 파일('h'와 't')을 결합하여 악성 DLL을 생성합니다. 이 DLL은 'curl.exe'의 이름이 바뀐 버전을 통해 사이드로딩되어 백도어의 은밀한 배포를 보장합니다.
지속성 및 데이터 수집
PLAYFULGHOST는 설치 후 여러 가지 기술을 사용하여 감염된 시스템에서 지속성을 확립합니다. 여기에는 Windows 레지스트리(실행 키) 수정, 예약된 작업 생성, Windows 시작 폴더에 항목 추가, Windows 서비스로 등록이 포함됩니다.
백도어의 기능을 통해 키 입력, 스크린샷, 오디오 녹음, 클립보드 데이터, 설치된 보안 소프트웨어 세부 정보, 시스템 메타데이터 및 QQ 계정 자격 증명을 포함한 광범위한 민감한 정보를 수집할 수 있습니다. 또한 키보드 및 마우스 입력을 차단하고, 이벤트 로그를 변조하고, 클립보드 콘텐츠를 지워 사용자 상호 작용을 방해하는 명령을 실행할 수 있습니다.
PLAYFULGHOST는 또한 파일 조작 기능을 보여주어 Sogou, QQ, 360 Safety, Firefox 및 Google Chrome과 같은 애플리케이션에서 브라우저 캐시와 프로필을 지울 수 있습니다. Skype, Telegram 및 QQ와 같은 메시징 플랫폼과 관련된 프로필과 로컬 스토리지를 추가로 제거할 수 있습니다.
추가 도구 배포
PLAYFULGHOST와 함께 위협 행위자들은 감염된 시스템에 대한 통제를 강화하기 위해 보충 도구를 배치하는 것으로 관찰되었습니다. 여기에는 잘 알려진 자격 증명 덤핑 도구인 Mimikatz 와 특정 레지스트리 항목, 파일 및 프로세스를 숨기도록 설계된 루트킷이 있습니다. 또한 Terminator라는 오픈 소스 유틸리티가 도입되어 Bring Your Own Vulnerable Driver(BYOVD) 기술을 통해 보안 메커니즘을 비활성화합니다.
최소한 한 가지 사례에서 PLAYFULGHOST는 BOOSTWAVE에 내장되었습니다. BOOSTWAVE는 셸코드 기반 메모리 내 드로퍼로, 추가된 PE(Portable Executable) 페이로드의 배포를 용이하게 합니다.
가능한 대상 인구 통계
Sogou, QQ, 360 Safety와 같은 애플리케이션에 초점을 맞추고 LetsVPN을 미끼로 사용하는 것을 보면 이 캠페인은 주로 중국어를 사용하는 Windows 사용자를 대상으로 한다는 것을 알 수 있습니다. 그러나 PLAYFULGHOST의 고급 기능은 이 특정 인구통계를 넘어 더 광범위한 악용 가능성을 나타냅니다.
