0xNews - 텔레그램을 통해 맬웨어 전파와 제어를 수행하는 공격 캠페인 발견
0xNews - 텔레그램을 통해 맬웨어 전파와 제어를 수행하는 공격 캠페인 발견
CheckPoint 발표
텔레그램 Telegram 을 통해 명령과 제어 C2 Command-and-Control 시스템으로 악용
악성코드를 배포하여 다음 대상 시스템에서 민감 정보를 탈취하는데 사용
CheckPoint 는 지난 3개월 동안 130건 이상 공격 분석
텔레그램이 설치되지 않았거나 사용되지 않은 경우에도 공격자가 인스턴스 메시징 앱을 이용
악성 명령과 작업을 원격 전송 가능
ToxicEye 라고 명명
새로운 다기능 원격 접속 트로이 목마 RAT Remote Access Trojan 사용
2019년 9월 Masad Stealer 라는 공격자가 텔레그램을 통해 정보 유출 수행
텔레그램을 통한 Masad Stealer 의 공격 분석
https://blogs.juniper.net/en-us/threat-research/masad-stealer-exfiltrating-using-telegram
감염된 컴퓨터에서 정보 탈취와 암호화폐 지갑 정보 약탈 등을 수행
2020년 Magecart 해커 그룹은 해킹된 웹 사이트에서 도난 당한 결재 정보를 공격자에게 다시 보내는 동일한 기법 수행
공격자가 텔레그램을 통한 정보 유출 통로로 활용하는 것은 엔터프라이즈용 바이러스 백신 엔진에 의해 차단
하지만 텔레그램 가입 시 휴대폰 번호만 필요하기 때문에 공격자는 익명으로 유지된 상태에서 전세계 모든 위치에서 감염된 기기로 접속 가능
이번에 발견된 공격 캠페인도 이전과 크게 다르지 않음
악성 윈도우 실행 파일이 포함된 피싱 이메일을 통해 전파되는 ToxicEye
텔레그램을 사용하여 C2 명령과 제어 서버와 통신하고 데이터를 업로드
또한 악성 코드는 데이터를 탈취하고 파일을 전송하거나 삭제, 프로세스 종료, 키로거 배포와 수행
컴퓨터의 마이크와 카메라를 권한 탈취 후 오디오와 비디오 녹음
손상된 컴퓨터의 파일을 암호화하는 랜섬웨어 공격도 가능
특히 공격자는 공격 체인으로 텔레그램 봇을 생성하여 RAT 의 구성 파일에 포함
실행파일로 컴파일하기 전 시작
exe 파일이 열릴 때 텔레그램 봇 C:\Users\ToxicEye\rat.exe 를 다운로드 후 실행하는 피싱 파일인 word 문서 solution.doc 에 인젝션
이번 공격 캠페인은 텔레그램 플랫폼을 통해 조직에서 멀웨어 배포와 즉시 사용 가능한 C2 서버 사용하는 추세로 확인
공격 그룹은 텔레그램을 통한 맬웨어 전파와 이를 통한 원격 접속과 공격을 점차 활용하여 현재 보안 시스템에 대한 우회도 가능하기에 보다 면밀한 보안 정책과 시스템 설정할 것을 권고
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.