사이버 보안 회사인 Securonix가 가짜 취업 면접을 구실로 가짜 npm 패키지를 사용하여 소프트웨어 개발자를 표적으로 삼고 Python 기반 원격 액세스 트로이 목마(RAT)를 다운로드하도록 속이는 새로운 사회 공학 공격 캠페인을 발견했습니다.
'DEV#POPPER'라는 이름으로 해당 활동을 추적한 Securonix 위협 연구팀은 관찰된 전술을 토대로 이 캠페인을 북한 위협 행위자와 연관시킨 것으로 알려졌습니다.
“이러한 사기 인터뷰 중에 개발자는 GitHub와 같이 합법적인 것으로 보이는 소스에서 소프트웨어를 다운로드하고 실행하는 작업을 수행하라는 요청을 받는 경우가 많습니다. 이 소프트웨어에는 일단 실행되면 개발자의 시스템을 손상시키는 악성 Node JS 페이로드가 포함되어 있습니다.” 보안 연구원 Den Iuzvyk, Tim Peck 및 Oleg Kolesnikov가 블로그 게시물에서 밝혔습니다.
그러나 위협 행위자의 목적은 대상을 속여 시스템 정보를 수집하고 호스트에 대한 원격 액세스를 가능하게 하는 악성 소프트웨어를 다운로드하도록 하는 것입니다.
첫 번째 단계에서는 소프트웨어 개발자 자리를 채우겠다는 제안으로 위장한 GitHub의 zip 아카이브가 면접관(공격자)이 다운로드할 수 있도록 면접 대상자(이 경우 개발자)에게 전송됩니다. 아카이브에는 README.md와 Frontend 및 Backend 디렉터리가 포함된 합법적인 것처럼 보이는 NPM(노드 패키지 관리자) 패키지가 포함되어 있습니다.
개발자가 악성 NPM 패키지를 실행하면 난독화된 JavaScript 파일("imageDetails.js")이 'curl' 명령을 사용하여 NodeJS 프로세스(node.exe)를 통해 실행됩니다. 첫 번째 단계에서 악성 스크립트의 목적은 단순히 외부 서버에서 추가 아카이브(“p.zi”)를 다운로드하는 것입니다.
아카이브 내부에는 RAT 역할을 하는 숨겨진 Python 파일(".npl")인 다음 단계 페이로드가 있습니다. 운영 체제 설정에 따라 이 Python 파일은 사용자에게 표시되지 않을 수도 있고 숨겨지지 않을 수도 있습니다.
RAT가 피해자의 시스템에서 활성화되면 감염된 컴퓨터에서 시스템 및 네트워크 정보를 수집한 다음 이 데이터를 명령 및 제어(C2) 서버로 보냅니다. 여기에는 OS 유형, 호스트 이름, OS 릴리스 버전, OS 버전, 사용자 이름이 포함됩니다. 로그인한 사용자의 MAC 주소와 사용자 이름을 해싱하여 생성된 장치의 고유 식별자(uuid)입니다.
Securonix 분석가에 따르면 RAT는 다음 기능을 지원합니다.
- 네트워킹 및 세션 생성은 지속적인 연결에 사용됩니다.
- 파일 시스템 기능은 디렉터리를 탐색하고, 제외할 특정 확장자와 디렉터리를 기준으로 파일을 필터링하고, 특정 파일이나 데이터를 검색하고 훔치는 기능을 합니다.
- 파일 시스템 검색 및 셸 명령 실행을 포함하여 시스템 셸 명령 및 스크립트 실행을 허용하는 원격 명령 실행입니다.
- 문서 및 다운로드와 같은 다양한 사용자 디렉터리에서 직접 FTP 데이터를 추출합니다.
- 클립보드 및 키 입력 로깅에는 클립보드 내용과 키 입력을 모니터링하고 추출하는 기능이 포함되어 있습니다.
연구원들은 “사회 공학을 통해 발생하는 공격의 경우 특히 면접과 같이 강렬하고 스트레스가 많은 상황에서 보안 중심의 사고방식을 유지하는 것이 중요합니다.”라고 덧붙였습니다.
"DEV#POPPER 캠페인 배후의 공격자들은 상대방이 매우 산만하고 훨씬 더 취약한 상태에 있다는 것을 알고 이를 악용합니다."
Securonix에서는 가짜 취업 기회가 미끼로 사용되어 사람들을 맬웨어에 감염시키는 경우가 많으므로 각별히 주의할 것을 권장합니다.
혹시 모르시는 분들을 위해 말씀드리자면, 2023년 11월 말 Palo Alto Networks Unit 42 연구원은 북한 정부가 후원하는 위협 행위자와 연계된 구직 활동을 표적으로 하는 두 개의 별도 캠페인을 발견했습니다.
첫 번째 캠페인인 "전염성 인터뷰"에서는 위협 행위자들이 고용주인 것처럼 가장하여 인터뷰 프로세스를 통해 소프트웨어 개발자가 악성 코드를 설치하도록 유인하여 다양한 유형의 도난 가능성을 만들었습니다.
반면, 두 번째 캠페인인 "Wagemole"은 금전적 이익과 간첩 가능성이 있는 미국 및 기타 지역에 기반을 둔 조직에 무단 채용을 모색했습니다.
*참조한 원본 글: https://www.techworm.net/2024/04/developers-with-fake-job-offer-malware.html
이 안드로이드 악성코드는 자동으로 실행되며 민감한 데이터를 훔칠 수 있습니다.
McAfee의 사이버 보안 연구원들은 Android 악성 코드인 XLoader의 업데이트 버전이 설치 후 사용자 개입 없이 감염된 Android 스마트폰에서 자동으로 실행될 수 있음을 발견했습니다. MoqHao라고도 알려진
lifegoodtip.tistory.com
윈도우 10에서 느린 부팅 시간을 해결하는 10가지 방법
Windows 10 의 느린 부팅 시간은 널리 퍼져 있고 상당히 짜증나는 문제입니다. 이는 일반적으로 Windows 운영 체제에 결함이 있거나 하드웨어가 운영 체제를 시작하는 데 너무 오랜 시간이 걸릴 때 발
lifegoodtip.tistory.com
'기타 꿀팁' 카테고리의 다른 글
| Google은 일부 Android 앱의 RCE 버그에 대해 현상금을 최대 450,000달러까지 늘립니다. (0) | 2024.05.04 |
|---|---|
| Google, Python, Flutter 및 Dart 팀 해고 (0) | 2024.05.04 |
| 머드(Mud) 색상의 뜻과 의미: 자연의 흙탕물에서 느껴지는 다채로운 감정 (0) | 2024.05.04 |
| 그라파이트 색상의 숨겨진 의미 (0) | 2024.05.04 |
| 엔비디아 주식 상승세, 지금 투자해야 할까? AMD는 어떨까? (0) | 2024.05.01 |