Home > Àüü±â»ç

À¯Æ©ºê¿Í ÆäÀ̽ººÏ »ç¿ëÇØ ´«¼ÓÀÓÇÏ´Â ÇÇ½Ì Ä·ÆäÀÎ, ¾Æ½ºÅ¸·Î½º

ÀÔ·Â : 2019-09-16 17:34
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
Ŭ¶ó¿ìµåÇ÷¹¾î, À¯Æ©ºê, ÆäÀ̽ººÏ µî¿¡ ¾Ç¼º °ø°Ý¿¡ ÇÊ¿äÇÑ µ¥ÀÌÅÍ ¼û°Ü
Á¤»ó ÇÁ·Î¼¼½º¿¡ ¾Ç¼º ÄÚµå ÁÖÀÔÇÏ°í, ÈÉÄ£ Á¤º¸´Â HTTPS·Î Àü¼ÛÇϱâ±îÁö


[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾Æ½ºÅ¸·Î½º(Astaroth)¶ó´Â Æ®·ÎÀ̸ñ¸¶¸¦ ÆÛÆ®¸®°í ÀÖ´Â ÇÇ½Ì Ä·ÆäÀÎÀÌ ÇÑâ ÁøÇà Áß¿¡ ÀÖ´Ù°í ÇÑ´Ù. ±×·±µ¥ µ¶Æ¯ÇÏ°Ôµµ ÆäÀ̽ººÏ°ú À¯Æ©ºê¸¦ È°¿ëÇÏ´Â Àü·«À» ±¸»çÇÏ°í À־ ´«¿¡ ¶è´Ù. º¸¾È ¾÷ü ÄÚÆ潺(Cofense)°¡ ¹ß°ßÇß´Ù.

[À̹ÌÁö = iclickart]


ÄÚÆ潺ÀÇ º¸¾È Àü¹®°¡ ¾Æ·Ð ¶óÀϸ®(Aaron Riley)¿¡ ÀÇÇÏ¸é °ø°ÝÀÚµéÀº ¸ÕÀú À̸ÞÀÏ¿¡ .HTM ÆÄÀÏÀ» ÷ºÎÇÏ´Â °ÍÀ¸·ÎºÎÅÍ °ø°ÝÀ» ½ÃÀÛÇÑ´Ù°í ÇÑ´Ù. ¡°¸ÞÀÏÀº ¼¼ °¡Áö Å׸¶·Î ³ª´¹´Ï´Ù. Àκ¸À̽º, °ø¿¬ ƼÄÏ, ¹ýÁ¤ ¼Ò¼ÛÀÌ ¹Ù·Î ±×°ÍÀÔ´Ï´Ù.¡±

ÇÇÇØÀÚ°¡ ÷ºÎ ÆÄÀÏÀ» Ŭ¸¯Çϸé HTM ÆÄÀÏÀÌ ¹ßµ¿µÅ .ZIP ÆÄÀÏÀÌ ´Ù¿î·Îµå µÈ´Ù. ¿©±â¿¡´Â ¾Ç¼º .LNK ÆÄÀÏÀÌ Ã·ºÎµÇ¾î ÀÖ°í, ÀÌ .LNK ÆÄÀÏÀº Ŭ¶ó¿ìµåÇ÷¹¾î(Cloudflare)ÀÇ µµ¸ÞÀο¡¼­ºÎÅÍ ÀÚ¹Ù½ºÅ©¸³Æ® Äڵ带 ´Ù¿î·Îµå ¹Þ´Â´Ù. ÀÚ¹Ù½ºÅ©¸³Æ®´Â ´Ù¾çÇÑ Á¾·ùÀÇ ÆÄÀÏÀ» ´Ù¿î·Îµå ¹Þ´Â ±â´ÉÀ» °¡Áö°í Àִµ¥, ´ëºÎºÐÀº »ç¿ëÀÚ¸¦ ¼ÓÀ̱â À§ÇÑ °ÍÀÌ°í ¼Ò¼ö¿¡´Â ¾Æ½ºÅ¸·Î½º »ùÇÃÀÌ ½É°ÜÁ® ÀÖ´Ù.

¡°´Ù¿î·Îµå µÈ ¿©·¯ ÆÄÀÏ Áß¿¡ .DLL È®ÀåÀÚ¸¦ °¡Áø ÆÄÀÏÀÌ µÎ °³ ÀÖ¾î¿ä. µÑÀÌ ÇÔ²² Á¤»ó ÇÁ·Î±×·¥ Çϳª¸¦ ºÎä³Î¿¡ ·Îµù½Ãŵ´Ï´Ù. ¡®C:\Program Files\Internet Explorer\ExtExport.exe¡¯¶ó´Â °ÍÀÔ´Ï´Ù. ÀÌ Á¤»ó ÇÁ·Î±×·¥À» »ç¿ëÇØ µÎ ºÎºÐÀ¸·Î ±¸¼ºµÈ ¾Ç¼º Äڵ带 ½ÇÇà½Ãŵ´Ï´Ù. ÀÌ ¾Ç¼º ÄÚµå´Â »ç¶÷µéÀÌ ½Å·ÚÇÏ´Â °÷À¸·ÎºÎÅÍ ´Ù¿î·Îµå µÇ¹Ç·Î ¹é½Å µîÀÇ º¸¾È ÀåÄ¡¸¦ ¿ìȸÇÕ´Ï´Ù.¡±

ExtExport.exe°¡ ¾Ç¼º Äڵ带 ½ÇÇà½ÃŲ ÀÌÈÄ¿¡´Â ¡®ÇÁ·Î¼¼½º ÇÒ·ÎÀ®(process hollowing)¡¯À̶ó´Â ±â¼úÀ» ÅëÇØ Á¤»ó ÇÁ·Î±×·¥À» °¨¿°½ÃÅ°±â ½ÃÀÛÇÑ´Ù. ¡°ÀÌÀü ´Ü°è¿¡¼­ ÀÚ¹Ù½ºÅ©¸³Æ®¸¦ ÅëÇØ ¿©·¯ ÆÄÀÏÀÌ ´Ù¿î·Îµå µÆÁÒ? °Å±â¼­ ¾Ç¼º Äڵ带 ÃßÃâÇÑ ÈÄ À̸¦ ÇÁ·Î¼¼½º ÇÒ·ÎÀ® ±â¹ýÀ¸·Î Á¤»ó ÇÁ·Î¼¼½º¿¡ »ðÀÔÇÕ´Ï´Ù. ±×·± ÈÄ ¾Ç¼º Äڵ尡 »ðÀÔµÈ Á¤»ó ÇÁ·Î¼¼½º°¡ Á¾·áµÇ¸é, ¾Ç¼º Äڵ尡 »ðÀÔµÈ ÇÁ·Î¼¼½º·Î ´ëüÇÏÁÒ. °Å±â¼­ºÎÅÍ´Â ¾Æ½ºÅ¸·Î½º°¡ C&C ä³Î°ú ¿¬°áÀ» ½ÃµµÇÕ´Ï´Ù.¡±

¹Ù·Î ÀÌ ÁöÁ¡¿¡¼­ À¯Æ©ºê¿Í ÆäÀ̽ººÏÀÌ È°¿ëµÈ´Ù. ÀÌ µÎ °¡Áö ¼­ºñ½ºÀÇ ÇÁ·ÎÆÄÀÏ¿¡ C&C ¿¬°áÀ» À§ÇÑ ¼³Á¤ µ¥ÀÌÅ͸¦ ¼û°ÜµÎ°í ÀÖ´Â °ÍÀÌ´Ù. ¡°ÀÌ C&C µ¥ÀÌÅÍ´Â base64·Î ÀÎÄÚµù µÇ¾î ÀÖ½À´Ï´Ù. ¿©±â¿¡ ¾à°£ÀÇ ¡®¸ÂÃãÇü ¾Ïȣȭ ±â¼ú¡¯ÀÌ ¼¯¿©µì´Ï´Ù. µ¥ÀÌÅÍ´Â ÆäÀ̽ººÏÀÇ °Ô½Ã±ÛÀ̳ª À¯Æ©ºê ÇÁ·ÎÆÄÀÏ Á¤º¸¿¡ ÀúÀåµÇ¾î ÀÖ°í¿ä. À¯Æ©ºê³ª ÆäÀ̽ººÏ ¸ðµÎ ½Å·Ú¸¦ ¹Þ´Â ¼­ºñ½ºÀ̱⠶§¹®¿¡ º¸¾È ÀåÄ¡µéÀ» ½±°Ô ÇÇÇØ°¥ ¼ö ÀÖ°Ô µË´Ï´Ù.¡±

C&C Á¤º¸°¡ ÀÌ µÎ °¡Áö·ÎºÎÅÍ ¼öÁý ¹× Á¶ÇÕµÇ°í ³ª¸é ¾Æ½ºÅ¸·Î½º´Â ½Ã½ºÅÛ¿¡¼­ ±ÝÀ¶ °ü·Ã Á¤º¸, ºñ¹Ð¹øÈ£, À̸ÞÀÏ Å¬¶óÀ̾ðÆ® Å©¸®µ§¼È, SSH Å©¸®µ§¼È µîÀ» ¼öÁýÇϱ⠽ÃÀÛÇÑ´Ù. ¾Æ½ºÅ¸·Î½º´Â 2017³âºÎÅÍ Á¸ÀçÇØ¿Â ¸Ö¿þ¾îÀ̸ç, HTTPS POST¸¦ ÅëÇØ ÈÉÃij½ Á¤º¸¸¦ Àü¼ÛÇÑ´Ù. Àü¼ÛµÇ´Â °÷Àº ¾Û½ºÆÌ(Appspot)À̶ó´Â Á¤»ó ¼­ºñ½º¿¡ È£½ºÆà µÈ »çÀÌÆ®·Î º¸³½´Ù.

¡°½Å·ÚµÇ´Â »çÀÌÆ®·Î, ¾Ïȣȭ µÈ Åë½Å ÇÁ·ÎÅäÄÝ·Î ¹º°¡¸¦ Àü¼ÛÇÑ´Ù´Â °ÍÀä, ±×·¸±â ¶§¹®¿¡ ³×Æ®¿öÅ© º¸¾È ÀåÄ¡µéÀ» ½±°Ô Åë°úÇÒ ¼ö ÀÖ°Ô µË´Ï´Ù. ÀÌ ÇÇ½Ì °ø°ÝÀÇ È帧 ÀÚü°¡ Á¤»ó ÇÁ·Î¼¼½º¿Í ¿ÜºÎ ¼­ºñ½º¸¦ È°¿ëÇØ º¸¾È ÀåÄ¡µéÀ» ½±°Ô ÇÇÇØ°¥ ¼ö ÀÖµµ·Ï ±¸¼ºµÇ¾î ÀÖ½À´Ï´Ù. ½Å·Ú¹Þ´Â ÇÁ·Î¼¼½º¿Í ¼­ºñ½º¶ó´Â ¿ä¼Ò¸¸ ¾Æ´Ï¶ó¸é ±Ý¹æ ŽÁöµÉ °ø°ÝÀε¥ ¸»ÀÌÁÒ.¡±

À̹ø ¾Æ½ºÅ¸·Î½º Ä·ÆäÀÎÀº ÁÖ·Î ºê¶óÁú¿¡¼­ Å« ÇÇÇظ¦ ÀÏÀ¸Å°´Â ÁßÀÌ´Ù. ÇÇ½Ì À̸ÞÀÏÀº Æ÷¸£Åõ°¥¾î·Î ÀÛ¼ºµÇ¾î ÀÖ°í, °ø°Ý °úÁ¤ Áß¿¡ ´Ù¿î·Îµå µÇ´Â .ZIP ÆÄÀÏ ¿ª½Ã ºê¶óÁú ±¹°¡ À§Ä¡¸¦ ±â¹ÝÀ¸·Î ÇÑ Áö¿ÀÆ潺 ±â´ÉÀÌ Àû¿ëµÇ¾î ÀÖ´Ù. ¡°ÇÁ·Î¼¼½º ÇÒ·ÎÀ® ±â¹ýÀ¸·Î °¨¿°µÇ´Â ÇÁ·Î¼¼½ºµéÀº unins000.exe, svchost.exe, userinit.exeÀä, ÀÌÁß unins000.exe´Â ºê¶óÁú ¿Â¶óÀÎ ¹ðÅ·ÀÇ º¸¾È ÇÁ·Î±×·¥¿¡¼­ ÁÖ·Î »ç¿ëÇÏ´Â °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖ½À´Ï´Ù.¡±

±×·¯³ª ÀÌ ±â¼úÀÌ °è¼ÓÇؼ­ ºê¶óÁúÀε鸸 À§ÇùÇ϶ó´Â ¹ýÀº ¾ø´Ù. ºñ½ÁÇÑ ¹æ¹ýÀ» ÅëÇØ ´Ù¸¥ ³ª¶ó¿¡¼­µµ °ø°ÝÀÌ ¹ß»ýÇÒ ¼ö ÀÖ´Ù°í ¶óÀϸ®´Â °æ°íÇÑ´Ù. ¡°½ÇÁ¦·Î .LNK ÆÄÀÏÀ» È°¿ëÇÑ Ä·ÆäÀÎÀº À¯·´¿¡¼­µµ ¹ß°ßµÈ ¹Ù ÀÖÁÒ. Á¤»ó ¼­ºñ½º¿¡ ¾Ç¼º Äڵ带 ÁÖÀÔÇÏ´Â °Íµµ ÀÌ¹Ì ´Ù¸¥ Áö¿ª¿¡¼­ Àû¹ßµÈ ¹Ù ÀÖ°í¿ä. °ø°ÝÀÚµéÀÇ ÀÀ¿ë·ÂÀ» °£°úÇؼ­´Â ¾È µË´Ï´Ù.¡±

3ÁÙ ¿ä¾à
1. ºê¶óÁú¿¡¼­ À¯ÇàÇÏ´Â ÇÇ½Ì Ä·ÆäÀÎ, ŽÁö ÀåÄ¡µé ¿ä¸®Á¶¸® ÇÇÇÔ.
2. Á¤»ó ¼­ºñ½º¿¡¼­ ÆÄÀÏ ´Ù¿î·Îµå ¹Þ°í, Á¤»ó ÇÁ·Î¼¼½º¿¡ ¾Ç¼º ÄÚµå ÁÖÀÔ.
3. ÇöÀç´Â ºê¶óÁú ¸ÂÃãÇü °ø°ÝÀÌÁö¸¸, ¼¼°èÀûÀ¸·Î ÁøÃâÇÒ °¡´É¼º ³ôÀ½.

[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)