다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 볼드모트 맬웨어

볼드모트 맬웨어

멀웨어, 백도어년에 Mezo 년까지
번역 :
한국어

사이버보안 연구원들은 Google 시트를 명령 및 제어(C2) 플랫폼으로 사용하는 새로운 맬웨어 캠페인을 발견했습니다.

2024년 8월 연구자들이 탐지한 이 공격 캠페인은 유럽, 아시아, 미국의 세무 당국으로 위장하여 전 세계 70개 이상의 조직을 표적으로 삼았습니다. 공격자는 Voldemort라는 맞춤형 도구를 사용하여 정보를 수집하고 추가 맬웨어를 배포하도록 설계되었습니다.

대상 분야로는 보험, 항공우주, 운송, 학계, 금융, 기술, 산업, 의료, 자동차, 호텔, 에너지, 정부, 미디어, 제조, 통신 및 사회 복지 기관이 있습니다. 사이버 스파이 캠페인이 특정 위협 행위자와 연결되지는 않았지만 이러한 공격에서 최대 20,000개의 이메일이 전송된 것으로 추정됩니다.

공격자가 악용하는 초기 침해 벡터

발견된 이메일은 미국, 영국, 프랑스, 독일, 이탈리아, 인도, 일본의 세무 당국에서 보낸 것처럼 가장한 것으로, 수신자에게 세무 신고서에 대한 업데이트를 알리고 중간 단계의 랜딩 페이지로 연결되는 Google AMP 캐시 URL을 클릭하도록 촉구하는 내용이 담겨 있었습니다.

이 페이지는 User-Agent 문자열을 확인하여 사용자의 운영 체제가 Windows인지 확인합니다. Windows인 경우, 이 페이지는 search-ms: URI 프로토콜 핸들러를 사용하여 Adobe Acrobat Reader를 사용하여 PDF로 위장한 Windows 바로가기(LNK) 파일을 제공하여 피해자가 이를 열도록 속이려고 합니다.

LNK 파일이 실행되면 PowerShell이 WebDAV 공유(\library)에서 Python.exe를 실행하고, 같은 서버의 다른 공유(\resource)에 있는 Python 스크립트를 인수로 전달합니다.

Voldemort 맬웨어가 손상된 시스템에 배포되는 방식

이 방법을 사용하면 Python이 컴퓨터에 어떤 파일도 저장하지 않고도 스크립트를 실행할 수 있으며, 종속성은 WebDAV 공유에서 직접 로드됩니다.

Python 스크립트는 시스템 정보를 수집하여 Base64로 인코딩된 문자열로 공격자가 제어하는 도메인으로 전송하도록 프로그래밍되어 있습니다. 그런 다음 사용자에게 가짜 PDF를 표시하고 OpenDrive에서 암호로 보호된 ZIP 파일을 다운로드합니다.

ZIP 아카이브에는 두 개의 파일이 포함되어 있습니다. DLL 사이드로딩에 취약한 합법적인 실행 파일 'CiscoCollabHost.exe'와 실행 파일에 의해 사이드로딩되는 악성 DLL 파일 'CiscoSparkLauncher.dll'(Voldemort로 알려짐)입니다.

볼드모트 맬웨어 위협의 능력

볼드모트는 정보 수집 및 다음 단계 페이로드 로딩 기능을 갖춘 C 언어로 작성된 맞춤형 백도어이며, 이 맬웨어는 C2를 위해 Google 시트를 활용하고, 데이터를 유출시키며, 운영자의 명령을 실행합니다.

연구원들은 이 활동이 지능형 지속 위협(APT)과 연관이 있지만, 전자 범죄 분야에서 널리 쓰이는 기술을 사용하기 때문에 사이버범죄의 성격을 띠고 있다고 설명했습니다.

위협 행위자는 파일 스키마 URI를 남용하여 맬웨어 스테이징을 위한 외부 파일 공유 리소스, 특히 WebDAV 및 Server Message Block(SMB)에 액세스합니다. 이는 스키마 'file://'를 사용하고 위협적인 콘텐츠를 호스팅하는 원격 서버를 가리킴으로써 수행됩니다.

이러한 접근 방식은 Latrodectus , DarkGate , XWorm 과 같이 초기 접근 브로커(IAB) 역할을 하는 맬웨어 계열에서 점점 더 보편화되고 있습니다.

공격자의 목표는 여전히 알려지지 않았습니다

해로운 캠페인은 이례적인 것으로 간주되어 위협 행위자가 처음에는 광범위한 잠재적 피해자를 표적으로 삼았다가 특정 그룹에 초점을 맞추었을 수 있음을 시사합니다. 다양한 수준의 기술 전문성을 보유한 것으로 보이는 공격자가 여러 조직을 손상시키려고 했을 가능성도 있습니다.

캠페인의 많은 측면이 전형적인 사이버 범죄 활동과 유사하지만, 아직 알려지지 않은 목표를 달성하기 위한 간첩 활동일 가능성이 높다고 생각합니다. 캠페인의 고급적이고 영리한 전술과 몇 가지 기본 기술을 결합하면 위협 행위자의 역량에 대한 평가가 복잡해지고 높은 확신을 가지고 궁극적인 목표를 결정하는 것이 어려워집니다.

트렌드

인터넷 라디오

잠재적으로 원하지 않는 프로그램, 애드웨어, 브라우저 하이재커
점점 더 상호 연결된 세상에서 기기의 보안은 그 어느 때보다 더 중요합니다. 사이버 위협은 진화하고 있으며, 잠재적으로 원치 않는 프로그램(PUP)은 개인 정보와 보안을 훼손할 수 있는 특히 사기성이 강한 소프트웨어 범주입니다. 이러한 애플리케이션은 종종 무해한 도구로 위장하지만 디지털 경험을 심각하게 손상시킬 수 있는 침입 기능을 가지고 있습니다....

AISEARCHS

잠재적으로 원하지 않는 프로그램, 브라우저 하이재커
침입적이고 신뢰할 수 없는 소프트웨어로부터 기기를 보호하는 것이 그 어느 때보다 중요합니다. 잠재적으로 원치 않는 프로그램(PUP)은 종종 무해한 도구로 위장하지만, 실제 의도는 보통 훨씬 더 해롭습니다. 이러한 프로그램은 개인 정보 보호, 보안 및 전반적인 사용자 경험을 크게 손상시킬 수 있습니다. 최근 식별된 그러한 PUP 중 하나는...

Styx Stealer

도둑들
사이버 보안 연구원들은 알려진 위협 행위자로부터 새롭게 발견된 매우 강력한 공격에 대해 보고했습니다. Windows 사용자를 대상으로 하는 이 맬웨어는 브라우저 쿠키, 보안 자격 증명, 인스턴트 메시지를 포함한 광범위한 데이터를 훔치도록 설계되었습니다. 핵심 맬웨어는 이전에도 발견되었지만, 이 최신 버전은 암호화폐 지갑을 더 효과적으로 비우도록 업그레이드되었습니다. 이 맬웨어는 올해 초 주목을 받았던 Phemedrone Stealer의 진화된 버전입니다. Microsoft Windows Defender의 취약성을 악용하여 보안 경고를 트리거하지 않고도 영향을 받는 PC에서 스크립트를 실행할 수 있습니다. Styx Stealer라는 새로운 변종은 Agent Tesla 와 관련된 Fucosreal 위협...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
83,697
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
64,272
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...