링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

회피적인 Jupyter Infostealer 캠페인에서 위험한 변종 공개

보안 연구원들은 최소 2020년부터 Chrome, Edge 및 Firefox 브라우저 사용자를 표적으로 삼아온 정보 도용자인 Jupyter의 정교하고 새로운 변종과 관련된 공격이 최근 증가하고 있음을 발견했습니다.

Yellow Cockatoo, Solarmarker 및 Polazert라고도 불리는 이 악성 코드는 컴퓨터를 백도어하고 컴퓨터 이름, 사용자의 관리자 권한, 쿠키, 웹 데이터, 브라우저 비밀번호 관리자 정보 및 기타 민감한 데이터를 포함한 다양한 자격 증명 정보를 수집할 수 있습니다. 암호화폐 지갑 및 원격 액세스 앱에 대한 로그인과 같은 피해자 시스템.

지속적인 데이터 탈취 사이버 위협

VMware의 Carbon Black 관리형 탐지 및 대응(MDR) 서비스 연구원들은 최근 PowerShell 명령 수정과 합법적인 것처럼 보이는 디지털 서명 페이로드를 활용하는 새로운 버전의 악성코드가 10월 말부터 꾸준히 증가하는 시스템을 감염시키는 것을 발견했습니다.

VMware는 이번 주 보안 블로그에서 “최근 Jupyter 감염은 여러 인증서를 사용하여 악성 코드에 서명하고 이를 통해 악성 파일에 대한 신뢰를 부여하여 피해자의 시스템에 대한 초기 액세스를 제공할 수 있습니다”라고 밝혔습니다. “이러한 수정으로 인해 [Jupyter’s] 회피 능력을 갖추고 있어 눈에 띄지 않게 유지됩니다.”

이전에 Jupyter를 추적한 다른 두 공급업체인 Morphisec과 BlackBerry는 이 악성 코드가 완전한 백도어로 기능할 수 있음을 확인했습니다. 이들은 명령 및 제어(C2) 통신 지원, 다른 악성코드에 대한 드로퍼 및 로더 역할, 탐지를 회피하기 위한 셸 코드 비우기, PowerShell 스크립트 및 명령 실행 등의 기능을 설명했습니다.

BlackBerry는 Jupyter가 OpenVPN, 원격 데스크톱 프로토콜 및 기타 원격 액세스 애플리케이션에 액세스하는 것 외에도 Ethereum Wallet, MyMonero Wallet 및 Atomic Wallet과 같은 암호화폐 지갑을 표적으로 삼는 것을 관찰했다고 보고했습니다.

악성코드 운영자는 악성 웹사이트로의 검색 엔진 리디렉션, 드라이브바이 다운로드, 피싱, SEO 중독 등 다양한 기술을 사용하여 악성코드를 배포하거나 검색 엔진 결과를 악의적으로 조작하여 악성코드를 전달했습니다.

Jupyter: 악성코드 탐지 둘러보기

가장 최근의 공격에서 Jupyter 배후의 위협 행위자는 유효한 인증서를 사용하여 악성 코드에 디지털 서명을 하여 악성 코드 탐지 도구가 합법적인 것처럼 보이도록 했습니다. 파일 이름에는 ‘An-employers-guide-to-group-health-continuation.exe” 그리고 “How-To-Make-Edits-On-A-Word-Document-Permanent.exe“.

VMware 연구원들은 악성 코드가 C2 서버에 여러 네트워크 연결을 만들어 Infostealer 페이로드를 해독하고 이를 메모리에 로드하는 것을 관찰했습니다. 이는 피해자 시스템에 착륙하자마자 거의 즉시 이루어졌습니다.

VMware의 보고서에 따르면 Chrome, Edge 및 Firefox 브라우저를 대상으로 하는 Jupyter 감염은 SEO 중독 및 검색 엔진 리디렉션을 사용하여 공격 체인의 초기 공격 벡터인 악성 파일 다운로드를 장려합니다. “이 악성 코드는 민감한 데이터를 유출하는 데 사용되는 자격 증명 수집 및 암호화된 C2 통신 기능을 보여주었습니다.”

Infostealer의 심각한 증가

벤더에 따르면 Jupyter는 VMware가 최근 몇 년간 클라이언트 네트워크에서 감지한 가장 빈번한 감염 상위 10개 중 하나입니다. 이는 코로나19 팬데믹이 시작된 후 많은 조직에서 대규모 원격 근무로 전환한 이후 인포스틸러 사용이 급격하고 우려스럽게 증가했다고 다른 사람들이 보고한 내용과 일치합니다.

예를 들어 Red Canary는 RedLine, Racoon, Vidar와 같은 인포스틸러가 2022년에 상위 10위 목록에 여러 번 올랐다고 보고했습니다. 대부분의 경우 악성 코드는 악성 광고나 SEO 조작을 통해 합법적인 소프트웨어에 대한 가짜 또는 중독된 설치 프로그램 파일로 도착했습니다. 회사는 공격자가 기업 네트워크 및 시스템에 빠르고 지속적이며 권한 있는 액세스를 가능하게 하는 원격 작업자로부터 자격 증명을 수집하기 위해 주로 악성 코드를 사용한다는 사실을 발견했습니다.

Red Canary 연구원들은 “스틸러 악성 코드로부터 면역이 되는 산업은 없으며 이러한 악성 코드의 확산은 일반적으로 광고 및 SEO 조작을 통해 기회주의적으로 발생하는 경우가 많습니다.”라고 말했습니다.

Uptycs는 올해 초 Infostealer 배포가 유사하고 문제가 있을 정도로 증가했다고 보고했습니다. 회사가 추적한 데이터에 따르면 2023년 1분기에는 공격자가 인포스틸러를 배포한 사건 수가 지난해 같은 기간에 비해 두 배 이상 증가했습니다. 보안 공급업체는 악성 코드를 사용하여 사용자 이름과 비밀번호, 프로필 및 자동 완성 정보와 같은 브라우저 정보, 신용 카드 정보, 암호화폐 지갑 정보 및 시스템 정보를 훔치는 위협 행위자를 발견했습니다. Uptycs에 따르면 Rhadamanthys와 같은 최신 인포스틸러는 특히 다단계 인증 애플리케이션에서 로그를 훔칠 수도 있습니다. 도난당한 데이터가 포함된 로그는 수요가 많은 범죄 포럼에서 판매됩니다.

Uptycs 연구원들은 “도난된 데이터의 유출은 다른 위협 행위자들의 초기 액세스 지점으로 다크 웹에서 쉽게 판매될 수 있기 때문에 조직이나 개인에게 위험한 영향을 미칩니다.”라고 경고했습니다.

Leave A Reply

Your email address will not be published.