사이버보안 연구원들은 Samba 파일 공유를 활용해 감염을 시작한 단명한 DarkGate 맬웨어 캠페인을 밝혀냈습니다.
Palo Alto Networks Unit 42는 이 활동이 2024년 3월과 4월에 걸쳐 이루어졌으며, 감염 사슬은 Visual Basic Script(VBS)와 JavaScript 파일을 호스팅하는 공개 Samba 파일 공유를 실행하는 서버를 사용했다고 밝혔습니다. 대상에는 북미, 유럽, 아시아 일부 지역이 포함되었습니다.
보안 연구원인 Vishwa Thothathri, Yijie Sui, Anmol Maurya, Uday Pratap Singh, Brad Duncan은 “이것은 위협 행위자가 합법적인 도구와 서비스를 창의적으로 악용하여 맬웨어를 배포하는 방법을 보여주는 비교적 단명한 캠페인이었습니다.”라고 말했습니다.
2018년에 처음 등장한 DarkGate는 엄격하게 통제된 수의 고객이 사용하는 맬웨어 서비스(MaaS) 제공으로 진화했습니다. 손상된 호스트를 원격으로 제어하고, 코드를 실행하고, 암호화폐를 채굴하고, 역방향 셸을 실행하고, 추가 페이로드를 투하하는 기능이 있습니다.
특히 맬웨어와 관련된 공격은 2023년 8월 다국적 법 집행 기관이 QakBot 인프라를 폐쇄한 이후 최근 몇 달 동안 급증했습니다.
Unit 42에서 기록한 캠페인은 Microsoft Excel(.xlsx) 파일로 시작하는데, 이 파일을 열면 대상에게 내장된 열기 버튼을 클릭하도록 촉구하며, 이 버튼을 클릭하면 Samba 파일 공유에 호스팅된 VBS 코드를 가져와 실행합니다.
PowerShell 스크립트는 PowerShell 스크립트를 검색하고 실행하도록 구성되어 있으며, 이후 이를 사용하여 AutoHotKey 기반 DarkGate 패키지를 다운로드합니다.
VBS 대신 JavaScript 파일을 사용하는 대체 시퀀스도 후속 PowerShell 스크립트를 다운로드하고 실행하도록 설계되었다는 점에서 다르지 않습니다.
DarkGate는 다양한 맬웨어 방지 프로그램을 스캔하고 CPU 정보를 확인하여 실제 호스트 또는 가상 환경에서 실행 중인지 확인하여 분석을 방해합니다. 또한 호스트의 실행 프로세스를 검사하여 리버스 엔지니어링 도구, 디버거 또는 가상화 소프트웨어가 있는지 확인합니다.
연구원들은 “DarkGate C2 트래픽은 암호화되지 않은 HTTP 요청을 사용하지만, 데이터는 난독화되어 Base64로 인코딩된 텍스트로 나타납니다.”라고 밝혔습니다.
“DarkGate가 침투 방법과 분석 저항 방법을 계속 발전시키고 개선함에 따라, 견고하고 사전 예방적인 사이버 보안 방어의 필요성을 강력하게 일깨워 주고 있습니다.”
