보안 연구원들이 명령 및 제어(C2) 목적으로 구글 드라이브 API를 사용하는 '나노리모트(NANOREMOTE)'라는 새로운 다기능 윈도우 백도어에 대한 세부 정보를 공개했다.   보안 기업의 보고서에 따르면, 이 악성코드는 C2를 위해 마이크로소프트 그래프(Microsoft Graph) API를 사용하는 '파이널드래프트(FINALDRAFT, 별칭 Squidoor)'라는 또 다른 임플란트와 코드 유사성을 공유한다.    파이널드래프트는 REF7707(별칭 CL-STA-0049, Earth Alux, Jewelbug)로 알려진 위협 그룹의 소행으로 지목된다.   보안 연구원은 "이 악성코드의 주요 기능 중 하나는 구글 드라이브 API를 사용하여 피해자 엔드포인트에서 데이터를 주고받는 것이다"라고 말했다.   "이 기능은 결과적으로 탐지하기 어려운 데이터 탈취 및 페이로드 스테이징을 위한 통로를 제공한다."   "이 악성코드에는 다운로드/업로드 작업 대기열 추가, 파일 전송 일시 중지/재개, 파일 전송 취소, 리프레시 토큰 생성 등의 파일 전송 기능을 위한 작업 관리 시스템이 포함되어 있다."   보안 기업에 따르면, REF7707은 2023년 3월부터 동남아시아와 남미의 정부, 국방, 통신, 교육 및 항공 부문을 표적으로 삼아온 중국 관련 활동 그룹으로 추정된다.    2025년 10월, 한 보안 기업은 러시아 IT 서비스 제공업체를 대상으로 한 5개월간의 침입 배후로 이 해킹 그룹을 지목했다.     [그림 1. NANOREMOTE의 공격 체인 및 C2 통신 구조]     나노리모트를 배포하는 데 사용된 정확한 초기 침투 경로는 현재 알려지지 않았다.    그러나 관찰된 공격 체인에는 비트디펜더(Bitdefender)의 충돌 처리 구성 요소("BDReinit.exe")로 위장하여 백도어 실행을 담당하는 셸코드를 복호화하는 'WMLOADER'라는 로더가 포함되어 있다.   C++로 작성된 나노리모트는 정찰 수행, 파일 및 명령 실행, 구글 드라이브 API를 사용한 피해자 환경 내 파일 송수신 기능을 갖추고 있다.      또한 운영자의 요청을 처리하고 응답을 보내기 위해, HTTP를 통해 하드코딩된 라우팅 불가능한 IP 주소와 통신하도록 사전 구성되어 있다.   보안 기업은 "이러한 요청은 HTTP를 통해 이루어지며, JSON 데이터는 Zlib로 압축되고 16바이트 키(558bec83ec40535657833d7440001c00)를 사용하는 AES-CBC로 암호화되어 POST 요청을 통해 전송된다"라고 설명했다.    "모든 요청의 URI는 /api/client를 사용하며 User-Agent는 (NanoRemote/1.0)이다."   주요 기능은 호스트 정보 수집, 파일 및 디렉터리 작업 수행, 디스크에 이미 존재하는 PE(Portable Executable) 파일 실행, 캐시 삭제, 구글 드라이브 파일 다운로드/업로드, 데이터 전송 일시 중지/재개/취소, 자체 종료를 가능하게 하는 22개의 명령 핸들러 세트를 통해 구현된다.       보안 기업은 2025년 10월 3일 필리핀에서 VirusTotal에 업로드된 "wmsetup.log" 라는 파일이 WMLOADER와 동일한 16바이트 키를 사용하여 복호화될 수 있으며, 이를 통해 FINALDRAFT 악성코드가 검출될 수 있음을 확인했다고 밝혔다.    두 악성코드 모두에 동일한 하드코딩 키가 사용된 이유는 불분명하다.   스테파닉은 "우리의 가설은 WMLOADER가 다양한 페이로드와 함께 작동할 수 있도록 하는 동일한 빌드/개발 프로세스의 일부이기 때문에 동일한 하드코딩 키를 사용한다는 것이다"라고 말했다.    "이는 파이널드래프트와 나노리모트 간에 코드베이스와 개발 환경이 공유되고 있음을 시사하는 또 다른 강력한 신호로 보인다."       출처 https://thehackernews.com/2025/12/nanoremote-malware-uses-google-drive.html

    WIRTE로 알려진 지능형 지속 위협(APT) 그룹이 2020년부터 이전에 문서화되지 않은 악성코드 제품군인 'AshTag'를 사용하여 중동 전역의 정부 및 외교 기관을 표적으로 삼은 공격의 배후로 지목되었다.   Palo Alto Networks Unit 42는 이 활동 클러스터를 'Ashen Lepus'라는 이름으로 추적하고 있다.   VirusTotal 플랫폼에 업로드된 아티팩트에 따르면, 위협 행위자는 오만과 모로코를 표적으로 삼았으며, 이는 팔레스타인 자치 정부, 요르단, 이라크, 사우디아라비아, 이집트를 넘어 작전 범위를 확장했음을 나타낸다.   보안 회사는 중동 전역에 "수십 개의 고유한 미끼(lures)"가 유포된 것을 관찰했으며, 이는 해당 지역의 정부 및 외교 기관에 국한된 "지속적이고 광범위한 캠페인"을 나타낸다고 밝혔다.   12개 이상의 기관이 표적이 된 것으로 추정되지만, 실제 숫자는 더 높을 것으로 의심된다.   보안 회사는 보고서에서 "Ashen Lepus는 이스라엘-하마스 분쟁 기간 내내 지속적으로 활동했으며, 이는 같은 기간 활동이 감소한 다른 연계 그룹과 구별된다"고 밝혔다.   "Ashen Lepus는 2025년 10월 가자 지구 휴전 이후에도 캠페인을 계속하여 새로 개발된 악성코드 변종을 배포하고 피해자 환경 내에서 직접적인(hands-on) 활동에 참여했다."   아랍어를 사용하고 정치적 동기를 가진 클러스터인 Gaza Cyber Gang(일명 Blackstem, Extreme Jackal, Molerats, TA402)과 겹치는 WIRTE는 적어도 2018년부터 활동해 온 것으로 평가된다.   Cybereason의 보고서에 따르면 Molerats와 APT-C-23(일명 Arid Viper, Desert Varnish, Renegade Jackal)은 하마스 사이버전 부서의 두 가지 주요 하위 그룹이다.   이는 주로 첩보 및 정보 수집에 의해 주도되며, 전략적 목표를 달성하기 위해 중동의 정부 기관을 표적으로 삼는다.   Unit 42 연구진은 "구체적으로 WIRTE(Ashen Lepus)와 더 광범위한 Gaza Cyber Gang 간의 연결은 주로 코드 중복과 유사성을 통해 입증된다"고 말했다.   "이는 그들이 독립적으로 운영되지만, 도구는 가까운 기관에 의해 개발되었으며 개발 리소스를 공유할 가능성이 높음을 시사한다. 우리는 다른 그룹의 피해자학에서도 중복을 확인했다."   2024년 11월에 발표된 보고서에서 Check Point는 이 해킹 조직이 이스라엘 기관만을 표적으로 삼아 'SameCoin'이라는 사용자 정의 와이퍼 악성코드를 감염시키는 파괴적인 공격을 수행했다고 밝혔다.   이는 그들이 첩보 활동과 사보타주를 모두 수행할 수 있는 적응력을 갖추고 있음을 강조한다. Unit 42가 자세히 설명한 이 장기적이고 파악하기 어려운 캠페인은 2018년까지 거슬러 올라가며, 해당 지역의 지정학적 문제와 관련된 미끼가 포함된 피싱 이메일을 활용하는 것으로 밝혀졌다.   최근 터키와 관련된 미끼(예: "모로코와 터키 간의 파트너십 계약" 또는 "팔레스타인 국가 관련 결의안 초안")의 증가는 해당 국가의 기관이 새로운 집중 대상일 수 있음을 시사한다.     [그림 1. AshTag 멀웨어 감염 체인]     공격 체인은 수신자가 파일 공유 서비스에서 RAR 아카이브를 다운로드하도록 속이는 무해한 PDF 미끼로 시작된다.   아카이브를 열면 일련의 이벤트가 트리거되어 AshTag가 배포된다.   여기에는 이름이 변경된 양성 바이너리를 사용하여 'AshenLoader'라는 악성 DLL을 사이드로딩하는 과정이 포함된다.   이 DLL은 속임수를 유지하기 위해 미끼 PDF 파일을 여는 것 외에도 외부 서버에 접속하여 두 가지 구성 요소를 더 드롭한다.   하나는 합법적인 실행 파일이고, 다른 하나는 'AshenStager'(일명 stagerx64)라는 DLL 페이로드이다.   AshenStager는 다시 사이드로딩되어 포렌식 아티팩트를 최소화하기 위해 메모리에서 악성코드 제품군을 실행한다.   AshTag는 지속성 및 원격 명령 실행을 용이하게 하도록 설계된 모듈식 .NET 백도어이며, 합법적인 VisualServer 유틸리티로 위장하여 탐지를 피한다.   내부적으로 그 기능은 통신을 활성화하고 메모리에서 추가 페이로드를 실행하기 위한 AshenOrchestrator를 통해 구현된다.   이러한 페이로드는 다음과 같은 다양한 목적을 수행한다.   - 지속성 및 프로세스 관리   - 업데이트 및 제거   - 화면 캡처   - 파일 탐색 및 관리   - 시스템 핑거프린팅   한 사례에서 Unit 42는 위협 행위자가 침해된 기기에 접속하여 C:UsersPublic 폴더에 관심 있는 문서를 스테이징함으로써 직접적인 데이터 절도를 수행하는 것을 관찰했다고 밝혔다.   이 파일들은 피해자의 이메일 수신함에서 다운로드된 것으로 알려졌으며, 최종 목표는 외교 관련 문서를 훔치는 것이었다.   문서는 이후 Rclone 유틸리티를 사용하여 공격자가 제어하는 서버로 유출되었다.   데이터 절도는 특히 고급 탐지 기능이 없는 환경을 중심으로 더 광범위한 피해자 그룹에서 발생했을 것으로 평가된다.   해당 회사는 "Ashen Lepus는 지속적인 첩보 행위자로 남아 있으며, 활동이 크게 감소한 다른 연계 위협 그룹과 달리 최근 지역 분쟁 기간 내내 작전을 계속하려는 명확한 의도를 보여준다"고 결론지었다.   "특히 지난 2년 동안의 위협 행위자 활동은 지속적인 정보 수집에 대한 그들의 헌신을 강조한다."       출처 https://thehackernews.com/2025/12/wirte-leverages-ashenloader-sideloading.html

    'DroidLock(드로이드락)'이라 불리는 새로 발견된 안드로이드 맬웨어는 금전을 요구하기 위해 피해자의 화면을 잠글 수 있으며, 문자 메시지, 통화 기록, 연락처, 오디오 녹음에 접근하거나 심지어 데이터를 삭제할 수도 있다.   DroidLock은 운영자가 VNC 공유 시스템을 통해 기기에 대한 완전한 제어 권한을 탈취할 수 있게 해주며, 화면에 오버레이를 띄워 기기 잠금 패턴을 훔칠 수도 있다.   보안 기업의 연구원들에 따르면, 이 맬웨어는 스페인어 사용자를 표적으로 삼으며, 정식 패키지로 위장한 가짜 애플리케이션을 홍보하는 악성 웹사이트를 통해 배포된다.   보안 기업은 오늘 발표한 보고서에서 "감염은 사용자를 속여 실제 맬웨어가 포함된 2차 페이로드를 설치하도록 유도하는 드로퍼(dropper)로부터 시작된다"고 밝혔다.       [그림 1. 로더 앱(위)과 DroidLock 앱(아래)]     이 악성 앱들은 업데이트 요청을 통해 메인 페이로드를 설치한 뒤, 사기 행위를 수행하는 데 필요한 '기기 관리자' 및 '접근성 서비스' 권한을 요구한다.   이 맬웨어가 수행할 수 있는 작업에는 기기 데이터 삭제(wiping), 기기 잠금, 그리고 사용자가 기기에 접근하지 못하도록 PIN, 비밀번호 또는 생체 인식 데이터를 변경하는 것 등이 포함된다.   보안 기업의 분석 결과, DroidLock은 알림 전송, 화면 오버레이 표시, 기기 음소거, 공장 초기화, 카메라 실행, 앱 제거 등의 기능을 수행할 수 있는 15가지 명령어를 지원하는 것으로 밝혀졌다.       [그림 2. DroidLock이 지원하는 명령어 목록]     랜섬웨어 오버레이는 관련 명령을 수신하는 즉시 웹뷰(WebView)를 통해 표시되며, 피해자에게 프로톤(Proton) 이메일 주소를 통해 공격자에게 연락하도록 지시한다.   만약 사용자가 24시간 이내에 몸값을 지불하지 않으면, 공격자는 파일을 영구적으로 파괴하겠다고 위협한다.       [그림 3. DroidLock의 랜섬 오버레이]     보안 기업은 DroidLock이 실제로 파일을 암호화하지는 않지만, 몸값을 지불하지 않을 경우 파일을 삭제하겠다고 협박함으로써 동일한 목적을 달성한다고 설명했다.   또한, 공격자는 잠금 코드를 변경하여 기기에 대한 접근을 차단할 수도 있다.   DroidLock은 악성 APK의 에셋에서 불러온 또 다른 오버레이를 통해 잠금 패턴을 탈취할 수 있다.    사용자가 복제된 인터페이스 위에 패턴을 그리면, 해당 정보는 즉시 공격자에게 전송된다.    이 기능의 목적은 기기가 유휴 상태일 때 VNC를 통해 원격으로 접근하는 것이다.   구글 '앱 디펜스 얼라이언스(App Defense Alliance)'의 회원사인 이 보안 기업은 새로운 맬웨어 발견 결과를 안드로이드 보안 팀과 공유하고 있으며, 이를 통해 '플레이 프로텍트(Play Protect)'가 최신 기기에서 이러한 위협을 탐지하고 차단할 수 있도록 한다.   안드로이드 사용자들은 게시자가 신뢰할 수 있는 출처가 아닌 이상 구글 플레이 외부에서 APK를 사이드로드(side-load)하지 않도록 주의해야 다.    또한 앱이 요구하는 권한이 해당 앱의 목적에 부합하는지 항상 확인하고, 주기적으로 '플레이 프로텍트'를 통해 기기를 검사해야 한다.       출처 https://www.bleepingcomputer.com/news/security/new-droidlock-malware-locks-android-devices-and-demands-a-ransom/