Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향ToxicEye 악성 코드 캠페인에서 악용되는 Telegram
작성일 2021-04-23 조회 98

 

 

앱이 설치되지 않았거나 사용중이지 않더라도 위협 행위자가 이를 활용하여 이메일 캠페인을 통해 악성 코드를 전파하고 피해자의 컴퓨터를 장악할 수 있다는 새로운 연구가 발견되었다.

 

해커들은 ToxicEye라고하는 원격 액세스 트로이 목마(RAT)에 코드를 삽입하여 인기있는 텔레그램 메시징 앱을 활용하고 있다는 새로운 연구 결과가 나왔다.

 

ToxicEye 악성 코드에 감염된 피해자의 컴퓨터는 해커가 운영하는 Telegram 메시징 계정을 통해 제어된다.

 

Check Point Software Technologies의 연구원에 따르면 ToxicEye 악성 코드는 파일 시스템을 장악하고 랜섬웨어를 설치하며 피해자의 PC에서 데이터를 유출할 수 있다.

 

Check Point는 지난 3개월 동안 텔레그램을 통해 위협 행위자들이 관리하고 있던 ToxicEye를 활용한 130건 이상의 사이버 공격을 추적했다고 밝혔다.

 

발표된 보고서에 따르면 공격자는 메시징 서비스를 사용하여 자체 서버와 통신하고 데이터를 유출한다.

 

Check Point의 연구 개발 관리자인 Idan Sharabi는 해커들이 전세계적으로 5억명이 넘는 실제 사용자를 보유한 Telegram을 배포 플랫폼으로 삼았을 가능성이 높다고 말한다.

 

"우리는 공격자들이 Telegram이 거의 모든 조직에서 사용되고 허용된다는 사실을 활용하여 보안 제한을 우회할 수있는 사이버 공격을 수행하는데 이 시스템을 활용하고 있다고 믿습니다."라고 말했다.

 

연구원은 보안 및 비공개 메시징 서비스로 알려진 Telegram이 특히 최근 몇 달 동안 더욱 인기를 얻고 있다고 말한다.

 

이는 WhatsApp에서 제정한 새로운 개인 정보 보호 및 데이터 관리 정책으로 인해 사용자들 사이에 우려를 불러 일으키고 수백만명이 Telegram과 같은 대체 메시징 플랫폼으로 옮겨갔기 때문이다.

 

이처럼 늘어나는 Telegram 사용자는 공격자들이 Telegram 플랫폼에 수많은 일반적인 악성 코드를 퍼뜨림으로써 이에 상응하는 공격 급증을 초래했다고 연구원들은 보고한다.

 

Check Point에 따르면 Telegram 사용자를 대상으로하는 수십개의 악성 코드 샘플도 발견되었다.

 

연구원들은 Telegram이 안티 바이러스 보호에 의해 차단되지 않고 공격자가 익명을 유지할 수 있도록 허용하기 때문에 이러한 활동을 가릴 수있는 이상적인 방법이라고 말한다.

 

또한 이 앱을 사용하면 공격자가 통신 인프라로 인해 피해자의 PC에서 데이터를 쉽게 유출하거나 감염된 컴퓨터로 새로운 악성 파일을 전송할 수 있으며 전 세계 어느 곳에서나 원격으로 수행이 가능하다.

 

 

 

[그림1. 감염 체인]

 

 

Telegram RAT 공격은 위협 행위자가 Telegram 계정과 전용 Telegram 봇 또는 채팅, 그룹에 사람을 추가하거나 입력 필드에서 직접 요청을 보내는 등 다양한 방법으로 다른 사용자와 상호 작용할 수있는 원격 계정을 만드는 것으로 시작된다.

 

 

 

[그림2. Telegram RAT 코드 샘플 일부]

 

 

그런 다음 공격자는 봇 토큰을 RAT 또는 기타 선택된 맬웨어와 번들로 묶고 이메일 기반 스팸 캠페인을 통해 전자 메일 첨부 파일로 맬웨어를 전파한다.

 

예를 들어, 연구원들은 "paypal checker by saint.exe"라는 파일을 통해 악성 코드를 유포하는 공격자들을 발견했다.

 

피해자가 악성 첨부 파일을 열면 Telegram에 연결하고 메시지 서비스를 사용하여 피해자의 장치를 공격자의 명령 및 제어 서버에 다시 연결하는 Telegram 봇을 통해 원격 공격에 시스템을 취약하게 만든다.

 

감염 후 공격자는 피해자의 컴퓨터를 완전히 제어하고 다양한 악의적인 활동을 수행할 수 있게 된다.

 

Check Point가 관찰 한 공격에서 ToxicEye RAT은 사람들의 장치에서 암호, 컴퓨터 정보, 브라우저 기록 및 쿠키를 찾아 훔치는 데 사용되었다.

 

또한 공격자는 파일을 삭제 및 전송하거나 PC 프로세스를 종료하고 키로거를 배포하거나 피해자 주변의 오디오 및 비디오를 녹음하고 클립 보드 내용을 훔칠 수 있다.

 

Check Point는 PC 감염의 징후는 C:UsersToxicEye at[.]exe 디렉토리에 "rat.exe"라는 파일이 있는 것이라고 말했다.

 

또한 해당 시스템에 Telegram 앱이 설치되어 있지 않을 때 PC에서 Telegram 계정으로 생성되는 트래픽을 모니터링해야한다고 연구원들은 말한다.

 

더불어 사용자는 의심스러운 이메일의 수신자를 항상 확인해야 하며 이름이 지정된 수신자가 없거나 수신자가 목록에 없거나 공개되지 않은 경우 이는 이메일이 피싱 또는 악성 메시지임으로 주의할 것을 당부했다.

 

 

 

출처

https://threatpost.com/telegram-toxiceye-malware/165543/

https://blog.checkpoint.com/2021/04/22/turning-telegram-toxic-new-toxiceye-rat-is-the-latest-to-use-telegram-for-command-control/

첨부파일 첨부파일이 없습니다.
태그 ToxicEye