¾È·¦ ½ÃÅ¥¸®Æ¼ ÀÎÅÚ¸®Àü½º ¼¾ÅÍ ¡°Ãâó°¡ ºÒºÐ¸íÇÑ ÆÄÀÏ ´Ù¿î·Îµå ¹× ½ÇÇà ½Ã ÁÖÀÇ Çʿ䡱
[º¸¾È´º½º ¹ÚÀºÁÖ ±âÀÚ] ÃÖ±Ù ÇÁ¸®¿þ¾î ÀÚµ¿È ¾ð¾îÀÎ Autoit(¿ÀÅäÀÕ)À¸·Î Á¦ÀÛµÈ ÄÚÀθ¶ÀÌ³Ê ¾Ç¼ºÄÚµå ¡®Zephyr¡¯°¡ À¯Æ÷µÇ°í ÀÖ´Ù. Zephyr´Â °ø°ÝÀÚ ÀÓÀÇ´ë·Î ÄÚÀÎÀ» ä±¼Çϸç, ¸¶ÀÌ´× Ç®°ú Áö°©À» Á¶È¸ÇÏ´Â µî Ãß°¡ ÇÇÇØ·Î À̾îÁú ¼ö ÀÖ¾î °¢º°ÇÑ ÁÖÀÇ°¡ ¿ä±¸µÈ´Ù.
[À̹ÌÁö=gettyimagesbank]
¾È·¦ ½ÃÅ¥¸®Æ¼ ÀÎÅÚ¸®Àü½º ¼¾ÅÍ(ASEC)¿¡ µû¸£¸é ÆÄÀÏÀº ¡®WINDOWS_PY_M3U_EXPLOIT_2024.7z¡¯ À̸§À¸·Î À¯Æ÷µÇ°í ÀÖÀ¸¸ç, ¾ÐÃà ÇØÁ¦ ½Ã ¿©·¯ ½ºÅ©¸³Æ®¿Í ½ÇÇà ÆÄÀÏÀ» »ý¼ºÇÑ´Ù. ±× Áß ¡®ComboIptvExploit.exe¡¯ ÆÄÀÏÀº NSIS(Nullsoft Scriptable Install System) ¼³Ä¡ÆÄÀÏÀÌ¸ç ³»ºÎ¿¡´Â 2°³ÀÇ ÀÚ¹Ù½ºÅ©¸³Æ® ÆÄÀÏÀÌ ÀÖ´Ù.
¡ãTemp °æ·Î¿¡ »ý¼ºµÇ´Â ½ºÅ©¸³Æ®[ÀÚ·á=ASEC ºí·Î±×]
ÇØ´ç ÆÄÀÏÀ» ½ÇÇàÇÏ¸é ¡®%temp%¡¯ °æ·Î¿¡ ¡®Explorer.js¡¯, ¡®internet.js¡¯ ÆÄÀÏÀ» »ý¼ºÇÏ°í, µÎ ÀÚ¹Ù½ºÅ©¸³Æ® ÆÄÀÏÀº wscript.exe¸¦ ÅëÇØ ½ÇÇàµÈ´Ù. ¡®internet.js¡¯ ÆÄÀÏÀº ³»ºÎ¿¡ BASE64 ÀÎÄÚµùµÈ ¹®ÀÚ¿À» µðÄÚµùÇØ ½ÇÇà ÆÄÀÏÀ» »ý¼ºÇÑ´Ù. ÀÌ ½ÇÇà ÆÄÀÏÀº ¡®%temp%¡¯ °æ·Î¿¡ ¡®x.exe¡¯ À̸§À¸·Î »ý¼ºµÇ°í, ¿ÀÅäÀÕÀ¸·Î ÀÛ¼ºµÈ ÇÁ·Î±×·¥À¸·Î È®ÀεƴÙ.
ÄÄÆÄÀÏµÈ ¿ÀÅäÀÕ ½ºÅ©¸³Æ® ÆÄÀÏ¿¡´Â ¾ÐÃàÆÄÀÏÀÎ ¡®asacpiex.dll¡¯, Á¤»ó ¡®7za.exe¡¯ ÀÎ ¡®CL_Debug_Log.txt¡¯ µÎ °³ ÆÄÀÏÀÌ Æ÷ÇԵŠÀÖ´Ù.
¡®JDQJndnqwdnqw2139dn21n3b312idDQDB¡¯¸¦ Æнº¿öµå·Î Àü´ÞÇÑ ÈÄ, ¾ÐÃà ÇØÁ¦ÇØ ÄÄÆÄÀÏµÈ ¿ÀÅäÀÕ ½ºÅ©¸³Æ® ÆÄÀÏÀÎ ¡®64.exe¡¯, ¡®32.exe¡¯¸¦ ¡®%temp%¡¯ °æ·Î¿¡ »ý¼ºÇÑ´Ù. ½Ã½ºÅÛÀÇ CPU ¾ÆÅ°ÅØó°¡ x86ÀÎ °æ¿ì ¡®32.exe¡¯¸¦, x64ÀÎ °æ¿ì ¡®64.exe¡¯¸¦ ¡®%USER%\AppData\Roaming\Microsoft\Windows\Helper.exe¡¯·Î º¹»çÇÑ´Ù.
¡ã¾Ç¼ºÄÚµå ½ÇÇà È帧 µµ½Äµµ[ÀÚ·á=ASEC ºí·Î±×]
º¹»çµÈ Helper.exe´Â Zephyr ¾ÏÈ£ÈÆó¸¦ Ã¤±¼ÇÏ´Â ÄÚÀÎ ¸¶ÀÌ³Ê ¾Ç¼ºÄÚµåÀ̸ç, ÃßÃâÇÑ ½ºÅ©¸³Æ®¿¡¼ »ç¿ëµÈ ¸¶ÀÌ´× Ç®°ú Áö°© ÁÖ¼Ò ¸ðµÎ È®ÀÎÇÒ ¼ö ÀÖ´Ù. ¸¶ÀÌ´× Ç®¿¡ Á¢¼ÓÇØ Áö°©À» Á¶È¸Çϸé ÃÖ±Ù¿¡ Ãâ±ÝÇÑ ÀÌ·ÂÀ» È®ÀÎÇÒ ¼ö ÀÖ¾ú´Ù.
ASEC´Â Ãâó°¡ ºÒºÐ¸íÇÑ ÆÄÀÏ ´Ù¿î·Îµå ¹× ½ÇÇà ½Ã ÁÖÀÇ°¡ ÇÊ¿äÇÏ¸ç »ç¿ëÇÏ°í ÀÖ´Â ¹é½ÅÀ» ÃֽŠ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®ÇØ¾ß ÇÑ´Ù°í ´çºÎÇß´Ù.
[¹ÚÀºÁÖ ±âÀÚ(boan5@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>