중앙아시아와 남아시아 국가의 통신 및 제조업 부문이 기존 악성코드 PlugX(Korplug 또는 SOGU) 변종을 배포하는 지속적인 캠페인의 표적이 되고 있다.   보안 연구진은 이번 주 발표한 분석에서 "신규 변종의 기능은 RainyDay 및 Turian 백도어와 겹치며, 동일한 합법적 응용 프로그램을 DLL 사이드로딩에 악용하고, XOR-RC4-RtlDecompressBuffer 알고리즘을 사용하여 페이로드를 암호화/복호화하며 RC4 키를 사용한다"라고 밝혔다.   보안 회사는 이번 PlugX 변종의 구성(Configuration)이 기존 PlugX 구성 형식과 크게 다르며, 대신 중국 연계 위협 행위자 Lotus Panda(Naikon APT)와 관련된 RainyDay와 동일한 구조를 채택했다고 언급했다.   이 변종은 보안 회사에 의해 FoundCore로 추적되는 그룹과 연관이 있을 가능성이 있다.   PlugX는 모듈형 원격 접근 트로이목마(RAT)로, 여러 중국 연계 해킹 그룹에서 광범위하게 사용되지만 특히 Mustang Panda(BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TEMP.Hex, Twill Typhoon)에서 두드러지게 사용된다.   반면 Turian(Quarian 또는 Whitebird)은 중국 연계 APT 그룹인 BackdoorDiplomacy(CloudComputating 또는 Faking Dragon)가 중동 지역을 대상으로 한 사이버 공격에서 독점적으로 사용하는 백도어로 평가된다.   피해자 분석, 특히 통신 회사에 집중된 패턴과 기술적 악성코드 구현 방식은 Lotus Panda와 BackdoorDiplomacy 간의 연관 가능성을 시사하며, 두 그룹이 동일 조직이거나 공통 공급업체로부터 도구를 공급받고 있을 가능성을 보여준다.   보안 회사는 탐지한 한 사례에서 Naikon이 카자흐스탄의 한 통신사를 타깃으로 삼았으며 해당 국가는 이전에 BackdoorDiplomacy의 공격 대상이었던 우즈베키스탄과 국경을 접하고 있다고 밝혔다.   더 나아가 두 해킹 그룹은 남아시아 국가를 집중적으로 공략한 것으로 나타났다.       [그림 1. Turian 악성코드 동작 과정]   공격 체인은 Mobile Popup Application과 연관된 합법적 실행 파일을 악용하여 악성 DLL을 사이드로딩한 후 이를 통해 PlugX, RainyDay, Turian 페이로드를 메모리에서 복호화 및 실행하는 방식으로 진행된다.   최근 위협 행위자가 주도한 공격에서는 PlugX에 크게 의존했으며 PlugX는 RainyDay와 동일한 구성 구조를 사용하고 있고 키로거 플러그인을 포함하고 있다.   보안 회사는 "Naikon과 BackdoorDiplomacy 사이에 명확한 연관성을 단정할 수는 없지만 표적 선택, 페이로드 암호화/복호화 방식, 암호 키 재사용, 동일 공급업체 도구 사용 등 상당한 유사성이 존재한다"라고 설명했다.   보안 회사는 이어 "이러한 유사성은 이번 캠페인에서 중국어권 행위자와의 중간 정도 신뢰도의 연관성을 시사한다"라고 덧붙였다.   한편 보안 회사는 Mustang Panda가 2015년부터 사용해온 Bookworm 악성코드의 내부 작동 방식도 공개했다.   Bookworm은 침해된 시스템에서 임의 명령 실행, 파일 업로드/다운로드, 데이터 유출, 지속적 접근 유지 등 광범위한 제어가 가능한 고급 RAT이다.   올해 3월 보안 회사는 해당 악성코드가 ASEAN 국가를 대상으로 배포되는 공격을 확인했다고 밝혔다.   Bookworm은 명령 및 제어(C2) 목적으로 합법적으로 보이는 도메인이나 침해된 인프라를 활용해 정상 네트워크 트래픽에 섞이도록 설계되었다.   일부 변종은 2022년 말부터 Mustang Panda와 관련된 TONESHELL 백도어와 일부 기능이 겹치는 것으로 나타났다. Bookworm을 배포하는 공격 체인도 PlugX 및 TONESHELL과 마찬가지로 DLL 사이드로딩을 활용하나 최신 변종은 UUID 문자열로 셸코드를 패키징하여 이를 복호화한 후 실행하는 기법을 채택했다. 보안 연구진은 "Bookworm은 고유한 모듈식 아키텍처로 핵심 기능을 명령 및 제어 서버에서 직접 추가 모듈을 로딩해 확장할 수 있다"라고 설명했다. 이어서 "이 모듈식 구조로 인해 정적 분석이 어려우며 Leader 모듈은 특정 기능을 제공하기 위해 다른 DLL에 의존한다"라고 덧붙였다. Bookworm의 배포 및 다른 Stately Taurus 작전과의 병행 운영은 그룹의 장기적 무기 체계 내 역할을 보여주며 해당 그룹이 지속적으로 개발하고 활용하고 있음을 시사한다.     출처 https://thehackernews.com/2025/09/china-linked-plugx-and-bookworm-malware.html

    사이버보안 연구진은 XCSSET이라고 불리는 알려진 Apple macOS 악성코드의 업데이트된 버전을 발견했으며, 해당 변종이 제한된 공격 사례에서 관찰되었다고 밝혔다.   “XCSSET의 이 새로운 변종은 브라우저 표적화, 클립보드 가로채기 및 지속성 메커니즘과 관련된 주요 변경사항을 가져온다,”고 Microsoft 위협 인텔리전스 팀은 목요일 보고서에서 밝혔다.   “이 변종은 정교한 암호화 및 난독화 기법을 사용하고, 은밀한 실행을 위해 실행 전용(run‑only)으로 컴파일된 AppleScript를 사용하며, 데이터 유출 능력을 확장해 Firefox 브라우저 데이터까지 포함한다. 또한 LaunchDaemon 항목을 통해 또 다른 지속성 메커니즘을 추가한다.”   XCSSET은 소프트웨어 개발자가 사용하는 Xcode 프로젝트를 감염시키도록 설계된 정교한 모듈형 악성코드의 이름이다.   이 악성코드는 Xcode 프로젝트가 빌드될 때 악성 기능을 발휘하도록 만들어졌다.   악성코드가 정확히 어떻게 유포되는지는 불명확하지만, 전파는 macOS용 앱을 개발하는 개발자들 사이에서 Xcode 프로젝트 파일이 공유되는 것에 의존하는 것으로 의심된다.   지난 3월 초, Microsoft는 이 악성코드에 대한 여러 개선사항을 밝혀냈으며, 향상된 오류 처리와 손상된 호스트에서 민감한 데이터를 빼내기 위해 세 가지 다른 지속성 기법을 사용한 사실을 강조했다.   최신 XCSSET 변종은 클립보드 내용을 모니터링하는 클리퍼 서브모듈을 포함하는 것으로 확인되었다.   이 서브모듈은 다양한 암호화폐 지갑과 일치하는 정규표현식(일명 regex) 패턴을 탐지한다.   일치 항목이 발견되면 악성코드는 클립보드에 있는 지갑 주소를 공격자가 제어하는 주소로 대체하여 거래를 우회시킨다.   해당 소프트웨어 제작사는 이번 변종이 감염 사슬의 네 번째 단계에 변화를 도입했으며, 특히 AppleScript 애플리케이션을 사용해 셸 명령을 실행하여 최종 단계 AppleScript를 가져오는 부분에서 변경이 있다고 언급했다.   해당 최종 단계 AppleScript는 시스템 정보를 수집하고 boot() 함수를 이용해 여러 서브모듈을 실행하는 역할을 한다.       [그림 1. Firefox 브라우저 정보 탈취를 위한 XCSSET AppleScript 코드]     주목할 점은 수정 사항에 Firefox 브라우저에 대한 추가 검사와 Telegram 메신저의 존재를 판단하는 로직 변경이 포함되어 있다는 점이다.   또한 여러 모듈에 대한 변경 사항과 이전 버전에는 없던 새로운 모듈들이 관찰되었다.   vexyeqj는 이전에 seizecj로 불리던 정보 수집 모듈이며, bnk라는 모듈을 다운로드하여 osascript로 실행하는 기능을 가진다.   이 스크립트는 데이터 검증, 암호화, 복호화, 명령·제어(C2) 서버에서 추가 데이터를 가져오는 기능 및 로깅을 위한 함수들을 정의하며, 클리퍼 기능도 포함한다.   neq_cdyd_ilvcmwx는 txzx_vostfdi와 유사한 모듈로, 파일을 C2 서버로 유출하는 기능을 수행한다.   xmyyeqjx는 LaunchDaemon 기반의 지속성(persistence)을 설정하는 모듈이다.   jey는 이전에 jez로 불리던 모듈이며, Git 기반의 지속성 설정에 사용된다.   iewmilh_cdyd는 공개적으로 이용 가능한 도구인 HackBrowserData의 수정된 버전을 사용하여 Firefox에서 데이터를 훔치는 모듈이다.   XCSSET가 야기하는 위협을 완화하기 위해, 사용자는 시스템을 항상 최신 상태로 유지하고, 저장소나 기타 출처에서 다운로드 또는 복제한 Xcode 프로젝트를 점검하며, 클립보드에서 민감한 데이터를 복사·붙여넣기할 때 주의할 것이 권장된다.   Microsoft 위협 인텔리전스 전략 책임자는 The Hacker News와의 인터뷰에서, 악성코드가 진화함에 따라 모듈 이름이 정기적으로 약간 변경되지만 기능은 일관되게 유지된다고 밝혔다.   책임자는 이번 변종에서 특히 디지털 지갑과 관련된 클립보드 내용을 가로채고 변조하는 능력이 두드러진다고 언급했다.   그는 “이는 단순한 수동적 정찰이 아니라, 사용자가 복사하고 붙여넣는 기본적인 행위조차 신뢰를 훼손할 수 있는 위협이다”라고 말했다.   또한 그는 이번 XCSSET의 진화가 개발자 도구조차 악용될 수 있음을 보여주며, 클립보드 탈취, 브라우저 표적화 확대, 은밀한 지속성 유지 등과 같은 전술로 인해 방어자가 대응해야 하는 난이도가 계속 높아지고 있다고 설명했다.       출처 https://thehackernews.com/2025/09/new-macos-xcsset-variant-targets.html  

    '베인 바이퍼(Vane Viper)'로 알려진 위협 행위자가 악성 광고 기술(애드테크)의 유포자임이 밝혀졌다.    이들은 복잡하게 얽힌 유령 회사(shell company)와 불투명한 소유 구조를 이용해 의도적으로 책임을 회피해 온 것으로 드러났다.   보안 기업들이 공동으로 발표한 기술 보고서에서 "Vane Viper는 최소 10년 동안 광범위한 멀버타이징(malvertising), 광고 사기, 사이버 위협 확산의 핵심 인프라를 제공해왔다"고 밝혔다.    또한 "Vane Viper는 멀웨어 드로퍼와 피싱 공격자들을 위한 트래픽을 중개할 뿐만 아니라, 과거에 드러난 광고 사기 기술과 일치하는 자체 캠페인도 운영하는 것으로 보인다"고 덧붙였다.   '옴나투오(Omnatuor)'라고도 불리는 Vane Viper는 2022년 8월, DNS 위협 분석 기업에 의해 처음 언급된 바 있다.    당시 보고서는 Vane Viper를 '벡스트리오 바이퍼(VexTrio Viper)'와 유사한 멀버타이징 네트워크로 묘사했다.    이들은 취약한 워드프레스 사이트를 악용해 해킹된 도메인으로 거대한 네트워크를 구축하고, 이를 통해 리스크웨어, 스파이웨어, 애드웨어를 유포한다고 설명했다.   이 위협 행위자가 사용하는 지속성 기술 중 주목할 만한 점은 브라우저 설정을 변경해 사용자가 초기 페이지를 벗어난 후에도 광고를 계속 노출시키는 푸시 알림 권한 남용이다.   이 방식은 '서비스 워커(service workers)'에 의존하는데, 이는 지속적인 헤드리스 브라우저 프로세스를 유지하며 원치 않는 알림을 보내는 역할을 한다.   지난해 말, 보안 연구소는 Vane Viper의 악성 광고 네트워크를 활용해 '클릭픽스(ClickFix)' 스타일의 사회 공학적 캠페인을 조장하는 '디셉션애즈(DeceptionAds)'라는 캠페인을 폭로했다.    이 활동의 배후로 A사가 지목됐는데, 분석에 따르면 A사는 광고 기술 회사 B사의 자회사이며, B사는 다시 키프로스에 본사를 둔 C 지주 회사의 자회사인 것으로 파악됐다.       [그림 1. Vane Viper의 인프라 및 관련 기업 연결 구조]   B사와 연결된 도메인들은 오랫동안 멀버타이징 캠페인을 조장하고 익스플로잇 킷이나 다른 사기성 사이트로 트래픽을 유도하는 것으로 지목되어 왔다.    추가 분석 결과, 여러 광고 사기 캠페인이 B사의 인프라에서 시작되었다는 증거도 발견됐다.   보안 기업에 따르면, Vane Viper는 지난 1년간 자사 고객 네트워크 절반에서 약 1조 건의 DNS 쿼리를 발생시켰다.    이들은 수십만 개의 해킹된 웹사이트와 악성 광고를 이용해 사용자들을 악성 브라우저 확장 프로그램, 가짜 쇼핑몰, 성인 콘텐츠, 사기성 설문조사, 가짜 앱, 의심스러운 소프트웨어 다운로드 등으로 유도하며, '트리아다(Triada)'라는 안드로이드 멀웨어를 유포한 사례도 있다.   더 나아가, Vane Viper는 도메인 등록 대행사인 D사를 비롯해 E사, F사와 인프라 및 인력을 공유하는 것으로 보인다.    D사는 '도플갱어(Doppelgänger)'라 불리는 러시아의 영향력 공작 세력이 개설한 허위 정보 사이트와도 연관된 바 있다.    C 지주 회사는 이 외에도 다수의 자회사를 소유하고 있다.   Vane Viper 인프라에 속한 도메인은 약 6만 개로 평가되며, 대부분 한 달 이내로만 사용되고 사라진다. 그러나 최초의 omnatuor[.]com 과 propeller-tracking[.]com 등 일부 핵심 도메인은 1,200일 이상 활성 상태를 유지하고 있다.   이 조직은 매월 엄청난 수의 신규 도메인을 등록하며 그 규모를 키워왔는데, 2023년 4월 500개 미만이던 등록 수가 2024년 10월에는 한 달에만 3,500개에 달하며 최고치를 기록했다.    2023년 이후 D사를 통해 대량 등록된 도메인의 거의 절반이 Vane Viper의 소유인 것으로 나타났다.   하지만 B사는 과거 모든 의혹을 부인하며, 자사는 "광고주가 최적의 게시자를 찾도록 돕는 자동화된 중개자일 뿐"이라며 "네트워크상의 어떤 악성 광고도 지지하거나 장려하지 않는다"고 주장했다.   보안 기업은 "Vane Viper는 단순히 애드테크 플랫폼 뒤에 숨은 위협 행위자가 아니다."   "애드테크 플랫폼 자체가 위협 행위자인 것이다. C 지주 회사는 광고주에게 대규모 도달과 수익화를 약속하지만, 실제로 전달하는 것은 위험이다."    "Vane Viper는 광고 네트워크라는 그럴듯한 명분 뒤에 숨어, 자신들의 트래픽 분산 시스템(TDS)을 이용해 다양한 종류의 위협을 퍼뜨리고 있다." 라고 말했다.     출처 https://thehackernews.com/2025/09/vane-viper-generates-1-trillion-dns.html