LOBSHOT 악성코드, 진짜 원격 관리 소프트웨어를 가장한 Google Ads를 통해 확산

올해 초, 여러 사이버 보안 연구자들은 Google Ads를 사용하여 검색 결과에서 악성코드를 퍼뜨리는 위협 행위자들의 증가를 보고했습니다.

보안 연구자들은 LOBSHOT이라는 새로운 악성코드를 발견했으며, 이는 위협 행위자들이 감염된 Windows 장치를 hVNC를 사용하여 조심스럽게 장악할 수 있도록 하는 Google Ads를 통해 배포되고 있습니다.

hVNC는 Hidden Virtual Network Computing의 약자로, 피해자의 지식 없이 악성코드가 기계를 제어할 수 있는 계산된 수단입니다.

Google Ads 캠페인은 Trading View, VLC, ZIP, OBC, Notepad++, CCleaner, Rufus 및 기타 앱과 같은 수많은 웹사이트를 가장했습니다.

이 웹사이트들은 실제 애플리케이션을 배포하는 대신 악성코드를 퍼뜨렸으며, 배포된 악성코드에는 RedLine Cobalt Strike, Gozi, Royal Ransomware, SectoRAT 및 Vidar가 포함됩니다.

보안 회사 Elastic Security Labs의 보고서에 따르면, LOBSHOT 악성코드는 Google Ads를 통해 퍼지고 있으며, 이 광고 캠페인은 진짜 AnyDesk 원격 관리 소프트웨어를 홍보했지만, 결국 가짜 Anydisk 웹사이트인 https://www.amydecke[.]website로 이어졌습니다.

이 웹사이트는 Powershell 명령을 실행하여 download -cdn[., a com]에서 DLL을 다운로드하는 악성 MSI 파일을 푸시합니다. 이 도메인은 실제로 TA505/Clop 랜섬웨어 그룹과 관련이 있습니다.

읽기: Evil Extractor, 미국 및 유럽에서 혼란을 일으키는 데이터 도난 도구

Proofpoint의 위협 연구원 Tommy Majdar는 Bleeping Computer에 도메인의 소유권이 과거에 변경되었기 때문에 TA505가 여전히 이를 사용하고 있는지는 현재로서는 알 수 없다고 전했습니다.

현재 다운로드된 DLL 파일은 실제로 LOBSHOT 악성코드이며, C:/ProgramData 폴더에 저장된 후 RunDLL.32.exe에 의해 실행됩니다.

Elastic Security Labs는 “지난 7월 이후로 500개 이상의 LOBSHOT 악성코드 샘플을 관찰했습니다. 우리가 관찰한 샘플은 일반적으로 93 KB에서 124 KB 사이의 32비트 DLL 또는 32비트 실행 파일로 구성되었습니다.“라고 언급합니다.

악성코드가 실행되면, Microsoft Defender와 같은 보안 소프트웨어가 실행 중인지 확인하고, 감지되면 실행을 종료하여 탐지를 피합니다.

그러나 Defender가 감지되지 않으면, 악성코드는 Windows에 로그인할 때 자동으로 시작되도록 레지스트리 항목을 구성하고, 감염된 장치에서 실행 중인 프로세스를 포함한 시스템 정보를 전송합니다.

그 후, 악성코드는 아홉 개의 Microsoft Edge 지갑 확장, 서른 두 개의 Chrome 암호화폐 지갑 및 열한 개의 Firefox 지갑 확장을 확인합니다.

확장 목록을 작성한 후, 악성코드는 C:/Program Data에 있는 파일을 실행합니다. 그러나 분석에서는 해당 파일이 없기 때문에 보안 회사는 이 파일이 데이터를 훔치는 데 사용되는지 여부를 확신하지 못하고 있습니다.

그러나 암호화폐 확장을 훔치는 것은 꽤 일반적이며, 보안 회사 Elastic Labs는 LOBSHOT 악성코드에 hVNC 모듈이 포함되어 있어 위협 행위자들이 감염된 기계에 조용히 접근할 수 있도록 한다고 발견했습니다.

Elastic Security Labs에 따르면, 악성코드는 위협 행위자들이 기계의 마우스와 키보드를 사용하여 숨겨진 데스크탑을 제어할 수 있도록 하는 hVNC 모듈을 실행합니다.

이 시점에서 피해자의 장치는 위협 행위자에 의해 제어되는 청취 클라이언트에게 숨겨진 데스크탑을 나타내는 화면 녹화를 전송하기 시작합니다. 보안 회사는 이렇게 말합니다.

더욱이, 위협 행위자는 키보드를 제어하고, 마우스를 이동시키고, 버튼을 클릭하여 클라이언트와 소통합니다. 이러한 능력은 공격자가 감염된 장치를 완전히 제어할 수 있게 합니다.

게다가 hVNC를 활용함으로써 공격자는 이제 기계에 대한 완전한 제어를 가지게 되어 명령을 실행하고, 데이터를 훔치고, 악성코드를 추가로 배포할 수 있습니다.

우리가 아는 바와 같이, AnyDesk 또는 유사한 원격 접근 소프트웨어는 일반적으로 사용되며, 이 악성코드는 아마도 기업 네트워크에 초기 접근을 얻고 다른 기계로 퍼지는 데 사용될 것입니다.

읽기: 원격 접근 악성코드로 미국 납세자를 겨냥한 피싱 사기