고급 감시 공격에 사용되는 일반 마법 및 파워 마법 악성코드

사이버 보안 회사 카스퍼스키의 보안 연구원들은 이전에 보이지 않았던 악성 프레임워크인 일반 마법(Common Magic)과 새로운 백도어인 파워 마법(Power Magic)을 이용한 고급 위협 행위자들의 공격을 발견했습니다.

두 악성코드는 최소한 2021년 9월부터 사용되고 있으며, 현재까지 계속되고 있는 공격은 감시 목적을 위해 농업, 운송 및 행정 부문을 목표로 하고 있습니다.

사이버 보안 회사의 연구원은 위협 공격자들이 크림, 도네츠크 및 루간스크에서 데이터를 수집하는 경향이 있다고 언급합니다.

악성코드가 피해자의 네트워크에 침투하면, 일반 마법 위협 공격자는 이제 USB 장치에서 DOCX, ZIP, RAR, XLS, XLSX, RTF, ODS, ODT, PDF 등과 같은 파일과 문서를 훔치기 위해 개별 플러그인을 사용할 수 있습니다.

악성코드는 또한 Windows 그래픽 장치 인터페이스 API를 사용하여 3초마다 스크린샷을 찍을 수 있습니다. 연구원은 초기 감염 경로가 피싱 또는 악성 LNK 파일이 포함된 ZIP 아카이브를 가리키는 URL을 전달하는 유사한 방법이라고 말합니다.

아카이브 내의 유인 문서(XLSX, PDF, DOCX)는 LNK 파일이 PDF로 가장하여 실행될 때 백그라운드에서 시작된 악성 활동으로 사용자를 리디렉션합니다.

보안 회사에 따르면, LNK 파일이 활성화되면 시스템을 이전에 알려지지 않은 PowerShell 백도어로 감염시키며, 보안 연구원들은 악성코드 코드에서 발견한 문자열을 기반으로 이를 파워 마법(Power Magic)이라고 명명했습니다.

읽기: Bitwarden 비밀번호 관리자의 자동 완성 기능이 iframe 기반 자격 증명 도난에 취약

백도어는 명령 및 C2 서버와 상호 작용하여 지침을 받고 Microsoft OneDrive 및 DropBox 폴더를 사용하여 결과를 업로드합니다. 백도어 감염 후, 목표는 연구원들이 이전에 이러한 작업을 본 적이 없는 알려지지 않은 악성 도구 그룹인 일반 마법으로 감염됩니다.

악성 일반 마법은 독립 실행형 실행 파일로 시작하여 상호 작용을 위해 명명된 파이프를 사용하는 다양한 요소를 가지고 있습니다.

카스퍼스키의 보안 연구원에 따르면, 공격자들은 C2와 통신하고 명령 서버에서 트래픽을 암호화 및 복호화하기 위해 다양한 작업을 위한 독점 모듈을 생성했습니다. 따라서 문서와 파일을 훔치고 스크린샷을 찍습니다.

이뿐만 아니라 데이터 교환은 OneDrive 폴더를 통해 이루어지며, 파일은 암호화 시작 시 사용자 정의 시퀀스인 Hwo7X8p를 사용하는 오픈 소스 라이브러리인 RC5Simple을 사용하여 암호화됩니다.

그렇다면, 일반 마법에서 보이는 악성 악성코드나 기술은 어렵거나 혁신적인 것이 아닙니다. ZIP 아카이브의 악성 LNK 파일과 관련된 감염 문자열이 여러 위협 공격자에 의해 관찰되었습니다.

유사한 기술은 악성 LMK를 사용하여 배치 스크립트를 실행하고 ZIP 호흡기의 내용을 추출하여 최종 페이로드를 가져오는 ChromeLoader 캠페인에서 관찰되었습니다.

악성 CommandMagic 방법과 가장 가까운 것은 악성 LNK 파일을 전달하는 피싱 이메일을 사용하여 사이버 스파이 활동에 참여한 YoroTrooper라는 공격자가 추적되었습니다.

비정상적인 접근 방식에도 불구하고, 악성 악성코드는 꽤 성공적이었습니다.

악성 악성코드는 202년경에 시작된 것으로 보입니다. 보안 연구원에 따르면, 위협 행위자들은 지난해 캠페인을 강화했으며 여전히 계속하고 있습니다.

읽기: Fortinet 사이버 보안 업데이트 실패; 제로데이 취약점이 위협 행위자에 의해 악용됨