다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 StreamSpy 트로이 목마

StreamSpy 트로이 목마

멀웨어, 트로이 목마년에 Mezo 년까지
번역 :

오늘날의 위협은 단순히 정보를 훔치는 것뿐만 아니라 공격자의 활동 범위를 은밀하게 확장하여 손상된 시스템 깊숙이 침투하도록 설계되었기 때문에, 개인 및 업무용 기기를 최신 멀웨어로부터 보호하는 것이 그 어느 때보다 중요합니다. 최근의 사례 중 하나는 패치워크(APT-Q-36) 그룹과 연관된 다단계 트로이 목마인 스트림스파이(StreamSpy)입니다. 모듈식 설계, 은밀한 통신 방식, 그리고 광범위한 기능 세트는 심각한 보안 문제를 야기합니다.

고급 통신 채널을 갖춘 은밀한 백도어

StreamSpy는 명령 서버와 통신하기 위해 WebSocket과 HTTP를 모두 사용한다는 점에서 차별화됩니다. WebSocket 채널은 명령을 전달하고 결과를 거의 실시간으로 공격자에게 전송하는 반면, HTTP는 업로드 또는 다운로드 파일과 같은 대용량 데이터 전송을 처리합니다. 이는 Spyder 다운로더에서 나타나는 동작과 유사하며, 이는 개발 기법의 공유 또는 기존 도구의 진화를 시사합니다.

트로이 목마는 악의적인 행위를 실행하기 전에 내장된 구성 값 집합을 잠금 해제합니다. 이러한 설정은 통신 동작을 제어하고, ID 매개변수를 제공하며, 시스템 재부팅 시에도 살아남기 위해 사용할 지속성 방법을 정의합니다.

시스템 프로파일링 및 피해자 식별

StreamSpy가 활성화되면 감염된 시스템에 대한 심층 검사를 수행합니다. 장치 이름, 현재 사용자, 운영 체제 버전, 설치된 바이러스 백신 도구, 하드웨어 식별자 및 기타 환경 정보와 같은 호스트 메타데이터를 수집합니다. 이 정보를 바탕으로 고유한 피해자 ID를 생성하여 공격자 서버로 전송합니다. 이를 통해 운영자는 캠페인 내에서 개별 감염을 추적할 수 있습니다.

트로이 목마는 자동으로 실행되도록 하기 위해 예약된 작업, 레지스트리 실행 키 또는 시작 바로 가기를 사용하여 지속성 메커니즘을 심습니다.

다양한 원격 명령

StreamSpy는 공격자가 감염된 환경과 유연하고 매우 침투적인 방식으로 상호 작용할 수 있도록 광범위한 명령 세트를 지원합니다. 가장 심각한 피해를 입히는 기능은 다음과 같습니다.

  1. 실행 및 배포 기능
  • cmd.exe 또는 PowerShell을 사용하여 임의의 명령을 실행하여 시스템 기능에 대한 전체 제어 권한 부여
  • 암호화된 ZIP 아카이브를 포함하여 추가 페이로드를 다운로드하고 실행하여 로컬로 복호화하고 배포합니다.
  1. 파일 작업 및 장치 열거
  • 손상된 컴퓨터에서 파일을 업로드하거나 추출
  • 활동을 숨기거나 후속 단계를 준비하기 위해 파일 이름을 바꾸거나 삭제합니다.
  • 용량, 파일 시스템, 이동식 드라이브 속성을 포함한 모든 연결된 저장 장치 검사

이러한 기능 덕분에 StreamSpy는 간첩 활동, 수평 이동, 데이터 도난 및 장기 접근에 효과적인 도구가 됩니다.

사기성 ZIP 아카이브를 통한 배달

조사관들은 StreamSpy가 악성 ZIP 압축 파일을 통해 확산된다는 사실을 확인했습니다. 알려진 사례 중 하나는 외부 서버에 호스팅된 'OPS-VII-SIR.zip'이라는 파일과 관련이 있었습니다. 해당 압축 파일에는 다음 내용이 포함되어 있었습니다.

  • PDF 스타일 아이콘으로 위장된 StreamSpy 실행 파일
  • 보관된 문서가 무해해 보이도록 합법적인 PDF 미끼 문서가 추가되었습니다.

이 기술은 사회 공학에 의존합니다. 사용자가 보관 파일을 열면 합법적인 것처럼 보이는 문서가 나타나고, 자신도 모르게 위장된 악성코드를 실행합니다. 초기 유인 파일은 사기성 웹사이트, 가짜 이메일, 악성 광고, DM, 소셜 미디어 게시물 등 다양한 경로를 통해 유포될 수 있습니다.

즉각적인 제거가 필요한 심각한 위협

StreamSpy는 광범위한 기능을 통해 공격자에게 민감한 데이터를 빼돌리고, 추가 악성코드를 배포하고, 파일을 방해하고, 잠재적으로 계정이나 신원을 탈취할 수 있는 능력을 제공합니다. 기기에 이 악성코드가 설치되면 피해자는 재정적 손실 및 추가 침해를 포함한 심각한 위험에 노출됩니다. 탐지될 경우, 신뢰할 수 있는 보안 도구와 철저한 시스템 정리 절차를 통해 즉시 제거해야 합니다.

의심스러운 파일, 예상치 못한 ZIP 파일, 그리고 원치 않는 통신에 항상 주의를 기울이는 것이 중요합니다. StreamSpy와 같은 위협이 점점 더 정교해짐에 따라, 강력한 사용자 인식은 가장 효과적인 방어 수단 중 하나입니다.

트렌드

Lionmerks.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
인터넷을 탐색하는 동안 항상 주의를 기울이는 것은 필수적입니다. 특히 사기성 웹사이트가 사용자를 속이려는 시도를 끊임없이 진화시키고 있기 때문입니다. 합법적인 확인, 알림 또는 시스템 메시지를 모방하도록 설계된 페이지는 방문자를 보안 및 개인정보 보호 위험에 노출시키는 권한 또는 데이터를 추출하는 것을 목표로 하는 경우가 많습니다....

Trustedspotsearch.com

불량 웹사이트, 애드웨어, 잠재적으로 원하지 않는 프로그램
안전하고 신뢰할 수 있는 브라우징 환경을 유지하려면 시스템을 침입적이고 신뢰할 수 없는 소프트웨어로부터 보호하는 것이 필수적입니다. PUP(잠재적으로 원치 않는 프로그램)는 유용한 도구처럼 위장하는 경우가 많지만, 브라우저 설정을 은밀하게 변경하고, 사용자를 개인 정보 보호 위험에 노출시키며, 기기 성능을 저하시킬 수 있습니다....

Cosollic.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
오늘날 많은 웹사이트가 사용자를 보안 및 개인정보 보호 위험에 노출시키는 기만적인 수법으로 사용자를 현혹하려 하기 때문에, 웹서핑 중 주의 깊게 살펴보는 것은 필수적입니다. Cosollic.com 페이지가 대표적인 예입니다. 이 페이지는 방문자가 원치 않는 브라우저 알림을 활성화하고 의심스러운 제3자 콘텐츠와 상호작용하도록 유도하기 위해...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
48,927
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

Discord가 회색 화면에 멈춤

문제
38,776
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
36,779
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...