Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향트럼프의 스캔들 비디오로 퍼지는 QNode 멀웨어
작성일 2021-01-08 조회 1946

 

Cybesecurity 연구진은 오늘 도널드 트럼프 미국 대통령의 스캔들 비디오를 포함하고 있다고 주장하며 원격 액세스 트로이 목마(RAT)를 배포하는 새로운 악성 스팸 캠페인을 공개했다.

 

제목 줄에 "GOOD LOAN OFFER !!,"가 포함된 이 이메일에는 "TRUMP_SEX_SCANDAL_VIDEO.jar," 라는 Java 아카이브(JAR) 파일이 첨부되어있으며 다운로드시 Qua 또는 Quaverse RAT(QRAT)를 설치한다.

 

Trustwave의 선임 보안 연구원 Diana Lopera는 "공격자들이 첨부파일에 사용한 파일 이름이 이메일의 주제와 전혀 관련이 없기 때문에 최근에 체결된 대통령 선거로 인한 열광을 타려고 시도하고 있다고 의심합니다." 라고 말했다.

 

이 공격은 8월에 Trustwave 연구진이 발견한 Windows 기반 QRAT 다운로더의 변종이다.

 

감염 체인은 첨부파일 또는 악성 zip파일을 가리키는 링크가 포함된 스팸 메시지로 시작하며, 둘 중 하나는 Allatori Java obfuscator를 사용하여 스크램블 된 JAR 파일("Spec # 0034.jar")을 검색한다.

 

[그림1. 전송되는 이메일]

 

이 1단계 다운로더는 Node.Js 플랫폼을 시스템에 설치 한 다음 Qnode RAT("qnode-win32-ia32.js")를 공격자의 서버에서 가져오고 실행시키는 2단계 다운로더 "wizard.js "를 다운로드하고 실행한다.

 

QRAT는 시스템정보획득, 파일작업수행, Google Chrome, Firefox, Thunderbird 및 Microsoft Outlook과 같은 애플리케이션에서 자격증명획득 등 다양한 기능을 갖춘 일반적인 원격 액세스 트로이 목마이다.

 

이번에 변경된 것은 피해자에게 실행중인 JAR이 침투 테스트에 사용되는 원격 액세스 소프트웨어임을 알리는 새로운 팝업 경고가 포함된 것이다.

 

는 또한 사용자가 "Ok, I know what I am doing" 을 클릭 한 후에만 샘플의 악의적인 동작이 시작됨을 의미한다.

 

[그림2. QNode RAT 유포과정]

 

또한 JAR 다운로더의 악성 코드는 탐지를 회피하기위해 무작위로 번호가 지정된 다른 버퍼로 분할된다.

 

다른 최신 변경사항으로는 JAR 파일 크기의 전체적인 증가와 "boot.js"라고하는 QRAT 페이로드를 즉시 가져 오는 방식의 업데이트된 멀웨어 체인을 포함하는 2단계 다운로더의 제거가 있다.

 

이 부분에서 RAT는 VBS 스크립트를 통해 대상 시스템을 통제하는 것 외에도 base64 인코딩으로 코드가 암호화 된 자체 업데이트 공유를 받게 된다.

 

Topera는 관리자에게 이메일 보안 게이트웨이에서 들어오는 JAR을 차단하도록 촉구하면서 "이 위협은 우리가 처음 조사한 이후 지난 몇 개월 동안 크게 향상되었습니다." 라고 결론을 내렸다.

 

첨부 파일 페이로드가 이전 버전에 비해 약간 개선되었지만 이메일 캠페인 자체는 다소 아마추어 적이며 이메일이 더 정교하다면이 공격이 성공적으로 진행될 가능성이 더 높다고 결론지었다.

 

출처

https://thehackernews.com/2021/01/hackers-using-fake-trumps-scandal-video.html

첨부파일 첨부파일이 없습니다.
태그