WARMCOOKIE 백도어

WARMCOOK과 같은 백도어 악성 코드는 컴퓨터 취약점을 악용하여 무단 액세스 및 제어를 허용하도록 만들어진 위협적인 소프트웨어입니다. 이러한 프로그램은 숨겨진 진입점을 구축하여 공격자가 추가 악성 코드 설치를 비롯한 다양한 유해 활동을 수행할 수 있도록 하는 것을 목표로 합니다. 실제로 WAMCOOKIE의 주요 목적은 손상된 시스템에 다음 단계 악성 코드 위협을 다운로드하고 설치하여 추가 감염을 촉진하는 것입니다.

WARMCOOKIE로 알려진 이 악성코드 변종은 이르면 2024년 봄에 확인되었으며, 잠재적으로 더 이전 버전이 유포될 수도 있습니다. 연구원들은 WARMCOOKIE가 의심하지 않는 사용자를 속여 악성 첨부 파일을 열거나 사기성 링크를 클릭하도록 하는 표적 이메일 스팸 캠페인을 통해 적극적으로 배포된다고 경고합니다.

사이버 범죄자들은 피싱 이메일로 피해자를 속입니다

WARMCOOKIE는 수신자를 유인하기 위해 직업 관련 주제를 사용하는 표적 스팸 이메일 캠페인을 통해 배포되었습니다. 이러한 이메일은 합법적인 채용 회사를 사칭하여 피해자의 실명을 언급하고 현재 직위와 같은 세부 정보를 제공하여 진짜인 것처럼 보이게 했습니다.

수신자는 채용 제안을 검토하기 위해 내부 시스템으로 연결될 것이라고 믿고 이메일에 있는 링크를 클릭하도록 유도되었습니다. 그러나 이 링크는 평판이 좋은 도메인에서 호스팅되는 일련의 손상된 웹사이트를 통해 사용자를 리디렉션하여 궁극적으로 사기 관련 웹사이트로 연결되었습니다.

채용 과정의 일부인 것으로 보이는 랜딩 페이지에서는 피해자에게 개인화된 정보를 제공하여 신뢰도를 높였습니다. 계속하기 전에 CAPTCHA 테스트가 필요한 채용 제안을 자세히 설명하는 문서를 다운로드하라는 메시지가 표시되었습니다.

CAPTCHA가 완료되면 피해자는 자신도 모르게 난독화된 JavaScript 파일을 다운로드했습니다. 이 파일은 Warmcookie로 시스템을 감염시켜 백도어 액세스를 설정하고 추가 악성 활동을 시작하도록 설계된 PowerShell 스크립트를 실행했습니다.

WARMCOOKIE 백도어는 피해자를 더 많은 악성 코드 위협에 노출시킬 수 있습니다.

WARMCOOKIE는 상대적으로 제한된 기능에도 불구하고 대상 네트워크에 대한 초기 진입점을 제공함으로써 백도어 악성 코드로서 중요한 역할을 합니다. 많은 백도어와 마찬가지로 WARMCOOKIE는 안티 디버깅 메커니즘, 샌드박스 환경 탐지 기능 등 탐지를 회피하기 위한 안티 분석 기능으로 설계되었습니다. 또한 10분마다 실행되도록 예약하여 지속성을 보장하므로 손상된 시스템에 대한 제어를 유지할 수 있습니다.

WARMCOOKIE는 성공적으로 침투하면 두 단계에 걸쳐 작업을 시작합니다. 처음에는 볼륨 일련 번호, DNS 도메인, 장치 이름 및 사용자 이름을 포함하여 감염된 시스템에서 필수 정보를 수집합니다. 그런 다음 이 데이터는 공격자의 명령 및 제어(C&C) 서버로 전송되며, 이는 악성 코드에 하드코딩됩니다.

두 번째 단계에서 WARMCOOKIE는 CPU 세부 정보, 피해자의 IP 주소, 이름, 버전, 설치 날짜를 포함한 설치된 소프트웨어의 전체 목록을 추출하는 데 중점을 두고 정보를 계속 수집합니다.

WARMCOOKIE는 파일 읽기, 스크린샷 캡처, 손상된 장치에 추가 파일 다운로드 등 감염된 시스템에서 다양한 명령을 실행하는 기능을 보유하고 있습니다. 주요 기능은 추가 악성 코드를 다운로드하고 설치하여 추가 감염을 지속시키는 것입니다.

백도어는 이론적으로 모든 유형의 맬웨어를 시스템에 도입할 가능성이 있지만 일반적으로 특정 제약 조건 내에서 작동합니다. WARMCOOKIE의 경우 트로이 목마 바이러스 또는 유사한 악성 소프트웨어가 설치되어 감염 범위가 확대되고 영향을 받는 시스템에 더 큰 위협이 될 수 있습니다.