다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 PowerModul Implant

PowerModul Implant

멀웨어, 백도어년에 Mezo 년까지
번역 :
한국어

Paper Werewolf(GOFFEE라고도 함)라는 위협 행위자는 PowerModul이라는 새로운 임플란트를 사용하여 러시아 조직만을 집중적으로 공격해 왔습니다. 2024년 7월부터 12월까지 이들의 공격은 대중 매체, 통신, 건설, 정부 기관, 에너지 부문 등 주요 산업을 집중적으로 노렸습니다.

끈질긴 적: 2022년 이후의 캠페인

Paper Werewolf는 2022년 이후로 최소 7개의 캠페인을 수행했습니다. 이 단체는 지속적으로 정부, 에너지, 금융, 미디어 부문의 고부가가치 타깃에 초점을 맞춰 왔습니다.

간첩 그 이상: 공격 체인의 파괴적 전환

Paper Werewolf의 활동은 전통적인 사이버 스파이 활동을 넘어섭니다. 그들의 공격 체인에는 직원 계정 비밀번호 변경과 같은 파괴적인 요소가 포함되어 있는 것으로 관찰되었는데, 이는 단순히 데이터를 훔치는 것이 아니라 운영을 마비시키려는 의도를 시사합니다.

진입점: 피싱 미끼와 PowerRAT

공격은 일반적으로 매크로가 포함된 문서가 포함된 피싱 이메일로 시작됩니다. 피해자가 파일에 접근하여 매크로를 활성화하면, PowerRAT 이라는 PowerShell 기반 원격 액세스 트로이 목마가 배포됩니다. 이 악성코드는 더욱 진보된 페이로드를 위한 토대를 마련합니다.

맞춤형 맬웨어 무기고: PowerTaskel, QwakMyAgent 및 Owowa

다음 단계 페이로드에는 Mythic 프레임워크 기반 에이전트의 커스텀 버전인 PowerTaskel과 QwakMyAgent가 포함되는 경우가 많습니다. 또 다른 도구인 Owowa는 악성 IIS 모듈로, 웹 클라이언트를 통해 입력된 Microsoft Outlook 자격 증명을 훔치는 데 사용됩니다.

새로운 감염 전술: RAR 아카이브의 위장된 실행 파일

최근 공격 사례는 이중 확장자(예: *.pdf.exe)를 사용하는 PDF 또는 Word 문서로 위장한 실행 파일이 포함된 악성 RAR 압축 파일을 특징으로 합니다. 실행 시, 시스템은 백그라운드에서 자동으로 감염되는 동안 사용자에게 가짜 문서가 표시됩니다.

실행 파일은 실제로 패치된 Windows 시스템 파일(explorer.exe와 유사)로, 난독화된 Mythic 에이전트를 포함한 악성 셸코드가 내장되어 있으며, 추가 지침을 얻기 위해 C2 서버에 연결합니다.

대체 공격 경로: PowerModul이 중심 무대를 차지하다

또 다른 방법으로, Paper Werewolf는 매크로가 포함된 Office 문서가 포함된 RAR 아카이브를 사용하는데, 이는 PowerModul을 위한 드로퍼 역할을 합니다. 이 PowerShell 스크립트는 C2 서버에서 추가 스크립트를 실행할 수 있어 다재다능한 백도어로 활용될 수 있습니다.

페이로드 퍼레이드: 간첩 및 감염을 위한 툴킷

PowerModul은 2024년 초부터 주로 PowerTaskel을 다운로드하고 실행하는 데 사용되어 왔습니다. 주목할 만한 다른 페이로드는 다음과 같습니다.

  • FlashFileGrabber : 플래시 드라이브에서 파일을 훔쳐 추출합니다.
  • FlashFileGrabberOffline : 플래시 미디어에서 특정 확장자를 가진 파일을 검색하여 나중에 유출시키기 위해 로컬에 저장합니다.
  • USB 웜 : PowerModul 복사본으로 플래시 드라이브를 감염시켜 맬웨어를 더욱 확산시킵니다.

PowerTaskel의 기능: 스크립트 실행 그 이상

PowerModul과 유사하지만 PowerTaskel은 더 강력한 기능을 제공합니다. 시스템 정보가 포함된 '체크인' 메시지를 전송하고, C2 서버에서 명령을 실행하며, PsExec를 사용하여 권한을 상승시킬 수 있습니다. 한 사례에서는 하드코딩된 SMB 네트워크 경로를 사용하여 원격 시스템의 파일을 수집하는 FolderFileGrabber 스크립트를 실행하는 것이 발견되었습니다.

전술의 진화: PowerTaskel에서 벗어나기

Paper Werewolf는 최초로 VBA 스크립트가 포함된 위조 Word 문서를 사용하여 초기 접근을 시도했습니다. 최근 조사 결과에 따르면, 이 조직은 PowerTaskel에서 벗어나 표적 네트워크 내에서의 수평 이동을 위해 바이너리 Mythic 에이전트를 점점 더 많이 사용하는 등 전술적 변화를 보이고 있습니다.

마무리 생각: 진화하는 기술로 인한 위협의 증가

Paper Werewolf는 계속해서 기술을 개선하고 무기고를 확장하고 있습니다. 러시아 기관에만 집중하는 데다 파괴적인 역량과 진화하는 감염 전략까지 더해지면서 Paper Werewolf는 심각하고 지속적인 사이버 위협으로 부상하고 있습니다.

트렌드

VoxFlowG USDT 에어드랍 이메일 사기

피싱, 스팸
암호화폐의 부상과 함께 사기꾼들은 사용자들을 속여 디지털 자산을 내주게 하는 점점 더 기만적인 전략을 개발했습니다. 그러한 사기 계획 중 하나는 VoxFlowG USDT Airdrop 이메일 사기로, 무료 Tether(USDT)를 약속하여 의심하지 않는 개인을 노립니다. 이 전략은 피해자의 암호화폐 지갑에서 자금을 모으도록 설계되었습니다. 이 계획이 어떻게 작동하는지 이해하면 사용자가 유사한 위협을 인식하고 파괴적인 재정적 손실을 피하는 데 도움이 될 수 있습니다. 유혹: 가짜 USDT 에어드랍 약속 이 캠페인을 주도하는 사기꾼들은 다음과 같은 유혹적인 제목을 단 대량 피싱 이메일을 보냅니다. '무료 USDT 에어드랍을 받으세요 – 이용 가능한 슬롯이 제한적입니다!' 이러한 이메일은...

체이스 - 이체가 처리 중이며 공제될 예정입니다 이메일 사기

피싱, 스팸
인터넷은 기회와 편의성으로 가득 차 있지만, 사이버 위협의 온상이기도 합니다. 사기꾼들은 사용자를 속이고, 민감한 데이터를 훔치고, 금융 계좌를 악용하는 새로운 방법을 끊임없이 고안합니다. 그러한 계획 중 하나는 합법적인 은행 기관을 사칭하여 의심하지 않는 피해자를 노리는 '체이스 - 송금이 처리 중이며 차감됩니다' 이메일 사기입니다. 이 전략을 이해하는 것은 잠재적인 재정적 손실을 피하고 개인 정보를 보호하는 데 중요합니다. 전술의 실체를 밝혀라: 무슨 일이 일어날까? 이 사기성 이메일 캠페인은 수신자를 속여 체이스 은행 계좌에서 350달러의 직접 이체가 처리되고 있다고 믿게 합니다. '새로운 보안 메시지가 있습니다'라는 제목의 이메일은 조치를 취하지 않으면 다음 영업일...

Ampention.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
인터넷에는 사용자를 속여 오해의 소지가 있는 콘텐츠에 참여하게 하는 수많은 사기성 웹사이트가 있습니다. 그러한 악성 페이지 중 하나는 Ampention.com으로, 침입성 브라우저 알림을 홍보하고 사용자를 다른 잠재적으로 안전하지 않은 플랫폼으로 리디렉션하는 것으로 알려진 사이트입니다. 이러한 알림을 확인하지 않으면 전술, 맬웨어 감염 및 개인 정보...

가장 많이 본

Discord가 회색 화면에 멈춤

문제
69,741
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
62,916
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
55,170
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...