사이버 보안 연구원들이 손상된 호스트에 대한 원격 액세스를 설정할 수 있는 백도어가 포함된 Linux 가상 인스턴스로 Windows 시스템을 감염시키는 새로운 악성 코드 캠페인을 발견했습니다.
코드네임이 붙은 “흥미로운” 캠페인 크론#트랩피싱 이메일을 통해 ZIP 아카이브 형태로 배포될 가능성이 있는 악성 Windows 바로 가기(LNK) 파일로 시작됩니다.
“CRON#TRAP 캠페인이 특히 우려스러운 점은 에뮬레이트된 Linux 인스턴스가 공격자가 제어하는 명령 및 제어(C2) 서버에 자동으로 연결하는 백도어로 사전 구성되어 있다는 것입니다.”라고 Securonix 연구원인 Den Iuzvyk와 Tim Peck은 말했습니다. 분석에서.
“이 설정을 통해 공격자는 피해자의 컴퓨터에 은밀하게 존재하여 숨겨진 환경 내에서 추가 악성 활동을 수행할 수 있으므로 기존 바이러스 백신 솔루션으로는 탐지가 어려워집니다.”
피싱 메시지는 열 때 감염 프로세스를 시작하는 대용량 285MB ZIP 아카이브와 함께 제공되는 “OneAmerica 설문 조사”인 것으로 알려져 있습니다.
아직 알려지지 않은 공격 캠페인의 일환으로 LNK 파일은 합법적인 오픈 소스 가상화 도구인 QEMU(Quick Emulator)를 통해 에뮬레이트된 경량의 맞춤형 Linux 환경을 추출하고 시작하는 통로 역할을 합니다. 가상 머신은 Tiny Core Linux에서 실행됩니다.
이어서 바로가기는 ZIP 파일을 다시 추출하고 숨겨진 “start.bat” 스크립트를 실행하는 PowerShell 명령을 실행합니다. 그러면 피해자에게 가짜 오류 메시지가 표시되어 설문조사 링크가 더 이상 존재하지 않는다는 인상을 줍니다. 일하고 있는.
그러나 백그라운드에서는 Chisel 터널링 유틸리티가 사전 로드되어 있는 PivotBox라는 QEMU 가상 Linux 환경을 설정하여 QEMU 인스턴스 시작 후 즉시 호스트에 대한 원격 액세스를 허용합니다.
연구원들은 “바이너리는 웹소켓을 통해 18.208.230(.)174의 원격 명령 및 제어(C2) 서버에 연결하도록 설계된 사전 구성된 Chisel 클라이언트인 것으로 보입니다.”라고 말했습니다. “공격자의 접근 방식은 이 Chisel 클라이언트를 완전한 백도어로 효과적으로 변환하여 원격 명령 및 제어 트래픽이 Linux 환경 안팎으로 흐르도록 합니다.”
이러한 개발은 위협 행위자가 조직을 표적으로 삼고 악의적인 활동을 은폐하기 위해 사용하는 끊임없이 진화하는 많은 전술 중 하나입니다. 대표적인 예로 유럽 국가의 전자 제조, 엔지니어링 및 산업 기업을 표적으로 삼아 다음과 같은 스피어 피싱 캠페인이 관찰되었습니다. 회피형 GuLoader 악성코드를 전달합니다.
Cado Security 연구원인 Tara Gould는 “이메일에는 일반적으로 주문 문의가 포함되어 있으며 아카이브 파일 첨부 파일이 포함되어 있습니다.”라고 말했습니다. “이메일은 가짜 회사 및 손상된 계정을 포함한 다양한 이메일 주소에서 전송됩니다. 이메일은 일반적으로 기존 이메일 스레드를 가로채거나 주문에 대한 정보를 요청합니다.”
루마니아, 폴란드, 독일, 카자흐스탄과 같은 국가를 주로 대상으로 한 이 활동은 아카이브 파일 내에 있는 배치 파일로 시작됩니다. 배치 파일에는 나중에 원격 서버에서 다른 PowerShell 스크립트를 다운로드하는 난독화된 PowerShell 스크립트가 포함되어 있습니다.
보조 PowerShell 스크립트에는 메모리를 할당하고 궁극적으로 GuLoader 쉘코드를 실행하여 최종적으로 다음 단계 페이로드를 가져오는 기능이 포함되어 있습니다.
Gould는 “Guloader 악성 코드는 RAT를 전달하기 위해 탐지를 회피하는 기술을 계속해서 조정하고 있습니다.”라고 말했습니다. “위협 행위자들은 특정 국가의 특정 산업을 지속적으로 표적으로 삼고 있습니다. 그 탄력성은 사전 예방적인 보안 조치의 필요성을 강조합니다.”