|
새로운 Windows 맬웨어는 곧 Linux, macOS 장치를 대상으로 할 수 있다. 침해사고분석팀 2020.12.16 |
|
|
AridViper로 추적된 위협 그룹에 연결된 새로 발견된 Windows 정보 도용 멀웨어는 Linux 및 MacOS를 실행하는 컴퓨터를 감염시키는 데 사용될 수 있다는 징후를 보여준다.
PyMICropSIA라고 불리는 이 새로운 트로이 목마는 최소 2011년부터 중동 지역을 표적으로 하며 아랍어를 사용하는 사이버 스파이 그룹인 AridViper 활동을 조사하다가 Unit 42에서 발견했다.
Kaspersky Lab의 GReAT(Global Research and Analysis Team)에 따르면, AridViper는 주로 팔레스타인, 이집트, 터키에서 운영되고 있으며, 2015년에 집겲한 피해자 수는 3,000명을 넘어섰다.
PyMICropSIA는 PyInstaller를 사용하여 생성된 Windows 바이너리를 사용하여 Windows 시스템을 대상으로 하는 Python 기반 악성 프로그램이지만, 제작자가 잠재적으로 멀티 플랫폼 지원을 추가하는 작업을 하고 있음을 보여주는 코드 조각을 발견했다.
"PyMICropSIA는 Windows 운영 체제를 대상으로 설계되었지만 코드에는 'posix' 또는 'darwin'과 같은 다른 운영 체제를 확인하는 흥미로운 부분이 포함되어 있다."라고 Unit 42가 말했습니다.
"이는 AridViper가 이러한 운영체제를 표적으로 삼는 것을 본 적이 없기 때문에 흥미로운 발견이다."
그럼에도 불구하고 이러한 검사는 맬웨어 개발자가 다른 '프로젝트'의 코드를 복사, 붙여넣는 동안 삽입됐을 수 있으며 향후 PyMICropSIA 트로이 목마에서 제거될 수 있다.
[그림1. 발견된 코드 조각]
데이터 도난 및 추가 페이로드 정보
이 트로이의 기능과 관련하여 Unit 42는 공격자의 C2 서버에서 다운로드한 손상된 장치 및 페이로드(Python 기반 아님)에서 발견된 멀웨어 샘플을 분석하면서 기능 목록을 발견했다.
정보 도용 및 제어 기능 목록에는 데이터 도난, 장치 제어 및 추가 페이로드 전송 기능이 포함된다.
전체 기능 목록에는 다음이 포함되지만, 이에 국한되지는 않다.
- 파일 업로드
- 페이로드 다운로드 및 실행
- 브라우저 자격 증명 도용 검색 기록 및 프로필을 삭제합니다
- 스크린 샷 찍기
- 키 로깅
- 훔친 정보를 위해 RAR 파일을 압축합니다
- 프로세스 정보 수집 및 프로세스 종료
- 파일 목록 정보 수집
- 파일 삭제
- 시스템을 재부팅합니다
- Outlook.ost 파일 수집, Outlook 프로세스 종료 및 비활성화
- 파일 및 폴더 삭제, 생성, 압축 및 추출
- 파일 유출을 포함하여 USB 드라이브에서 정보 수집
- 오디오 녹음
- 명령 실행
[그림2. 공격 흐름]
PyMICropSIA는 정보 및 파일 도난에서 Windows 프로세스, 파일 시스템 및 레지스트리 상호 작용에 이르기까지 다양한 용도로 Python 라이브러리를 사용합니다.
GetAsyncKeyState API를 사용하여 구현된 트로이의 키 로깅 기능은 C2 서버에서 다운로드하는 별도의 페이로드의 일부입니다.
다운로드된 페이로드는 손상된 시스템의 windows 시작 폴더에 .LNK 바로 가기를 통해 지속성을 확보하는데 사용된다.
그러나 PyMICropSIA는 시스템을 재시작한 후 멀웨어를 다시 시작하는 전용 레지스트리 키 설정을 비롯한 다른 지속성 방법도 사용한다.
PyMICropSIA와 AridViper의 MICROPSIA 맬웨어 간의 연결을 기반으로, 매우 능동적인 개발 프로필을 유지하여 표적 방어를 우회하는 새로운 임플란트를 만들어낸다.
출처 https://www.bleepingcomputer.com/news/security/new-windows-malware-may-soon-target-linux-macos-devices/ https://unit42.paloaltonetworks.com/pymicropsia/
|
