윈딜러

덜 알려진 중국어를 구사하는 사이버 범죄 그룹이 침해된 장치에 정보 도용 멀웨어를 배포하는 공격 작업을 수행하고 있습니다. LuoYu 그룹의 해커는 합법적인 앱에 대한 업데이트를 가로채고 악성 페이로드로 전환하여 이른바 man-on-the-side 공격을 합니다. 감염에 성공하기 위해 위협 행위자는 선택한 희생자의 네트워크 트래픽을 적극적으로 모니터링합니다. QQ, Wanga Wang 또는 WeChat과 같은 아시아 시장의 인기 소프트웨어 제품과 관련된 앱 업데이트 요청이 관찰되면 LuoYu 해커는 WInDealer 악성코드의 설치 프로그램으로 대체합니다.

피해자의 Windows 시스템에서 실행되는 WinDealer는 공격자가 광범위한 침입 및 악의적인 작업을 수행할 수 있도록 합니다. 위협의 주요 기능 중 하나는 기밀 및 민감한 데이터의 수집 및 후속 유출과 관련됩니다. 그러나 해커는 장치에서 지속성을 보장하기 위해 WinDealer에 의존하여 보다 전문화된 백도어 위협을 설치할 수도 있습니다. WinDealer는 파일 시스템을 조작하거나 동일한 네트워크에 연결된 추가 장치를 검색하거나 임의의 명령을 실행할 수 있습니다.

위협의 한 가지 독특한 특성은 명령 및 제어(C2, C&C) 서버와 통신하는 방식입니다. LuoYu 사이버 범죄자들은 하드 코딩된 C2 서버를 사용하는 대신 중국 Xizang 및 Guizhou 지방에서 48,000개의 IP 주소 풀을 만들었습니다. 위협은 해당 풀 중에서 임의의 ChinaNET(AS4134) IP 주소에 연결합니다. LuoYu 및 WinDealer에 대한 세부 정보를 공개한 Kaspersky의 사이버 보안 연구원은 해커가 AS4134 내부의 침해 라우터에 액세스하거나 ISP 수준의 법 집행 도구를 활용하여 이러한 기술을 사용할 수 있다고 믿습니다. 또 다른 가능성은 위협 행위자가 일반 대중에게 아직 알려지지 않은 내부 방법을 가지고 있다는 것입니다.