“백신부터 무력화한다” 러시아 겨냥 암네시아 RAT 파상공세 작성일 01-27 54 목록 <div id="layerTranslateNotice" style="display:none;"></div> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="xdQ5XDLxEe"> <p contents-hash="17b71eae76346b4653f30a52c374bf6a85fa41f69afc4afd19b538c3ed3d770b" dmcf-pid="yHTnJq1ymR" dmcf-ptype="general"><strong>‘디펜드낫’(defendnot) 도구 사용해 윈도우 보안 센터 속여</strong></p> <p contents-hash="85b66487ea448aa6fe8dab343cdb019006d3e0743b52ad0deb07444ec27b0d53" dmcf-pid="WmkV9HCEwM" dmcf-ptype="general">[보안뉴스 김형근 기자] 최근 러시아를 겨냥한 암네시아 원격 접근 트로이목마(Amnesia RAT)와 랜섬웨어를 결합한 다단계 피싱 공격 캠페인을 포티넷이 포착했다. </p> <figure class="figure_frm origin_fig" contents-hash="f12cde7ec3c1a3107297c995129468b4088dd443a34911c48399a6b807a3d2d4" dmcf-pid="YsEf2XhDsx" dmcf-ptype="figure"> <p class="link_figure"><img class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202601/27/552815-KkymUii/20260127172316959pmej.jpg" data-org-width="1000" dmcf-mid="Q9ZANfu5Dd" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202601/27/552815-KkymUii/20260127172316959pmej.jpg" width="658"></p> </figure> <div contents-hash="77f237dd5f5b9ba27bdcf651b0e43b84a546854f5e24592d9cf5f9da73b5d433" dmcf-pid="GOD4VZlwOQ" dmcf-ptype="general"> <div> <p>▲암네시아 RAT 공격 흐름도 [출처: 포티넷]</p> </div> <br>회계 업무용 파일처럼 정교하게 위장한 LNK 파일을 배포, 사용자가 실행하는 즉시 악성 파워쉘 스크립트가 작동하기 시작한다. 공격자는 깃허브와 드롭박스 같은 클라우드 서비스를 활용해 페이로드를 분산 배치해 보안 솔루션의 탐지를 피했다. </div> <p contents-hash="c3978c7660096e220ea4aceb3c15836824797445d41b61230a761c86a059f83b" dmcf-pid="HIw8f5SrrP" dmcf-ptype="general">특히 ‘디펜드낫’(defendnot) 도구를 사용해 윈도우 보안 센터를 속이고 마이크로소프트 디펜더를 무력화한 점이 주목된다. 본래 디펜드낫은 윈도우 보안 시스템을 우회할 방식을 제시하기 위한 목적으로 개발된 연구자용 도구였다. </p> <p contents-hash="e4a198872c40d822b4161f4bdaaa5b65913b4d026cb6c8dd8127d1765b1101e9" dmcf-pid="XCr641vmw6" dmcf-ptype="general">보안 프로그램이 해제된 시스템에서 악성 스크립트는 정찰 활동을 시작하며, 30초마다 화면을 캡처해 텔레그램 봇을 통해 공격자에게 전송한다. </p> <p contents-hash="63cb30b83321d24db3616222e6e75badfe4610a5537a905f90d1c53cd3503b54" dmcf-pid="ZhmP8tTsI8" dmcf-ptype="general">이후 드롭박스에서 내려받은 암네시아 RAT이 웹 브라우저 비밀번호, 암호화폐 지갑, 스팀, 디스코드 정보를 탈취한다. 이 RAT는 원격 제어와 마이크로폰 도청, 웹캠 촬영 기능까지 갖추고 있어 개인의 사생활을 감시하고 정보를 탈취한다. </p> <p contents-hash="ecedb41a820a3b13b8ef267f15a4706ecf92a3fe2034169f729916f242a3d8e5" dmcf-pid="5lsQ6FyOD4" dmcf-ptype="general">정보 탈취가 완료되면 공격은 랜섬웨어 단계로 넘어간다. ‘하쿠나 마타타’(Hakuna Matata) 계열 랜섬웨어가 시스템 내부 파일을 암호화한다. 이 랜섬웨어는 클립보드를 감시하다가 사용자가 입력하는 암호화폐 주소를 공격자의 지갑 주소로 몰래 바꿔치기하는 기능도 갖고 있다.</p> <p contents-hash="cc65c099b6cc9217e76b31df1718243abb1bc27285e81a2c2e88b3189a4c3bbb" dmcf-pid="1SOxP3WIDf" dmcf-ptype="general">공격 마지막 단계에선 윈로커(WinLocker)를 배포해 사용자의 컴퓨터 조작을 심각하게 제한하고 시스템을 완전히 인질로 잡는다. </p> <p contents-hash="b8b0780f236e78934646439cf21906f2c734c86366ac5ebac09494880836bd72" dmcf-pid="t73wEQb0DV" dmcf-ptype="general">카라 린 포티넷 연구원은 “이번 공격이 소프트웨어 취약점이 아닌 윈도우의 정상 기능을 악용했다는 점에 주목해야 한다”고 경고했다. </p> <p contents-hash="3235cd9352324e82cbae38403dd94039d2886c9551d2d6de742bac1ea5b5c150" dmcf-pid="Fz0rDxKpD2" dmcf-ptype="general">한편, 러시아 기업의 인사 및 급여 담당 부서를 표적으로 삼아 ‘듀퍼러너’(DUPERUNNER) 악성 코드를 심는 ‘오퍼레이션 듀프하이크’(Operation DupeHike) 작전도 지난 연말부터 기승을 부리고 있다. 또 ‘페이퍼 웨어울프’(Paper Werewolf)라는 조직은 AI로 생성한 정교한 미끼 문서를 활용해 에코개더(EchoGather) 백도어를 퍼뜨리는 활동을 전개 중이다. </p> <p contents-hash="1a237b857f9877078ed894193fa06efcc49cea363dade8ae488e7470fc61af92" dmcf-pid="3qpmwM9Us9" dmcf-ptype="general">마이크로소프트는 이러한 위협에 대응하기 위해 사용자에게 변조 방지(Tamper Protection) 기능을 활성화할 것을 권고했다. </p> </section> </div> <p class="" data-translation="true">Copyright © 보안뉴스. 무단전재 및 재배포 금지.</p> 관련자료 이전 어두운 우주의 비밀 찾는다…국산 우주망원경 첫 관측 성공 01-27 다음 대량 정보 처리 공공시스템도 위기…모의 해킹하니 수천만명 주민번호 털렸다 01-27 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.
