Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향연구원들은 APOMACroSplit 맬웨어 빌더 배후의 해커를 밝혀낸다
작성일 2021-02-18 조회 164

 

 

사이버 보안 연구원들은 피해자들의 컴퓨터를 제어하고 원격으로 정보를 도용치기 위한 목적으로 전 세계 80여 명의 고객을 대상으로 한 악의적인 이메일 캠페인의 일환으로 배포되는 새로운 종류의 Office 악성 프로그램을 공개했다.

 

"APOMacroSploit"로 불리는 이 도구는 사용자가 바이러스 백신 소프트웨어, Windows AMSI(Antimalware Scan Interface), Gmail 및 기타 이메일 기반 피싱 탐지를 우회할 수 있는 Excel 문서를 만들 수 있는 매크로 공격 생성기이다.

 

APOMacroSploit는 프랑스 위협 행위자 'Apocaliptique'와 'Nitrix'의 작품으로 추정되며, HackForums.net에서 제품을 판매하여 2개월 동안 최소 5,000 달러를 벌어들인 것으로 추정된다.

 

30여 개국에 있는 사용자를 대상으로 한 수많은 공격에서 100개의 서로 다른 이메일 발신자를 활용한 총 40여 명의 해커들이 이번 작전의 배후로 알려져 있다. 사이버 보안 회사인 Check Point에 따르면, 이 공격은 2020년 11월 말에 처음으로 발견됐다.

 

"첨부된 XLS 문서의 동적 내용이 활성화되면 악성 프로그램 감염이 시작되고 XLM 매크로가 자동으로 Windows 시스템 명령 스크립트를 다운로드하기 시작한다."라고 화요일 보고서에서 밝혔다.

 

Windows 시스템 명령 스크립트는 cutt.ly에서 검색되며, 파일 이름에 삽입된 고객의 닉네임을 가진 여러 BAT 스크립트를 호스팅하는 서버로 연결된다. 이 스크립트는 Windows 시스템에서 맬웨어("fola.exe")를 실행하지만 Windows Defender의 제외 경로에 맬웨어 위치를 추가하고 Windows 정리를 비활성화하기 전에는 수행하지 않는다.

 

이 공격들 중 하나에서, "BitRAT"라고 불리는 2단계 원격 액세스 트로이 목마인 Delphi Crypter가 불가리아의 한 웹사이트에서 호스트된 것이 발견되었고, 이는 공격자가 악성 실행 파일을 저장하기 위해 웹사이트를 침입했음을 암시한다.

 

 

[그림1. APOMacroSploit 동작 경로]

 

 

"암호화" 또는 "패킹"을 사용하는 아이디어는 압축뿐만 아니라 멀웨어 샘플을 보다 회피적이고 리버스 엔지니어링하기 위해 위협 행위자들 사이에서 점점 더 인기를 끌고 있다.

 

지난해 8월 공식 문서화된 BitRAT에는 암호화폐 채굴, 웹캠 해킹, 키 입력 로그, 임의 파일 다운로드 및 업로드, C2 서버를 통해 원격으로 시스템을 원격 제어 기능이 포함되어 있다.

 

 

[그림2. BitRAT 관련 공식 문서 자료]

 

 

Check Point의 추가 조사에는 두 개의 League of Legends 플레이어 프로필을 포함한 두 명의 운영자가 남긴 디지털 흔적을 추적하여 실제 이름이 "Nitrix"라는 것을 밝혀냈다.

 

Nitrix는 4년 경력의 Noisy-Le-Grand의 소프트웨어 개발자인 반면 Apocaliptique는 "apo93"또는 "apocaliptique93"과 같은 대체 이름을 사용하는 프랑스 거주자일 가능성이 제기되고 있다.

 

Check Point Research는 범죄자들의 신원에 대해 사법 당국에 경고했다고 말했다.

 

 

 

출처

https://thehackernews.com/2021/02/researchers-unmask-hackers-behind.html

첨부파일 첨부파일이 없습니다.
태그 APOMACroSplit  Office 악성 프로그램