0xNews - 텔레그램을 통해 맬웨어 전파와 제어를 수행하는 공격 캠페인 발견

CheckPoint 발표

텔레그램 Telegram 을 통해 명령과 제어 C2 Command-and-Control 시스템으로 악용

악성코드를 배포하여 다음 대상 시스템에서 민감 정보를 탈취하는데 사용

CheckPoint 는 지난 3개월 동안 130건 이상 공격 분석

텔레그램이 설치되지 않았거나 사용되지 않은 경우에도 공격자가 인스턴스 메시징 앱을 이용

악성 명령과 작업을 원격 전송 가능

ToxicEye 라고 명명

새로운 다기능 원격 접속 트로이 목마 RAT Remote Access Trojan 사용

2019년 9월 Masad Stealer 라는 공격자가 텔레그램을 통해 정보 유출 수행

텔레그램을 통한 Masad Stealer 의 공격 분석

감염된 컴퓨터에서 정보 탈취와 암호화폐 지갑 정보 약탈 등을 수행

2020년 Magecart 해커 그룹은 해킹된 웹 사이트에서 도난 당한 결재 정보를 공격자에게 다시 보내는 동일한 기법 수행

공격자가 텔레그램을 통한 정보 유출 통로로 활용하는 것은 엔터프라이즈용 바이러스 백신 엔진에 의해 차단

하지만 텔레그램 가입 시 휴대폰 번호만 필요하기 때문에 공격자는 익명으로 유지된 상태에서 전세계 모든 위치에서 감염된 기기로 접속 가능

이번에 발견된 공격 캠페인도 이전과 크게 다르지 않음

악성 윈도우 실행 파일이 포함된 피싱 이메일을 통해 전파되는 ToxicEye

텔레그램을 사용하여 C2 명령과 제어 서버와 통신하고 데이터를 업로드

또한 악성 코드는 데이터를 탈취하고 파일을 전송하거나 삭제, 프로세스 종료, 키로거 배포와 수행

컴퓨터의 마이크와 카메라를 권한 탈취 후 오디오와 비디오 녹음

손상된 컴퓨터의 파일을 암호화하는 랜섬웨어 공격도 가능

특히 공격자는 공격 체인으로 텔레그램 봇을 생성하여 RAT 의 구성 파일에 포함

실행파일로 컴파일하기 전 시작

exe 파일이 열릴 때 텔레그램 봇 C:\Users\ToxicEye\rat.exe 를 다운로드 후 실행하는 피싱 파일인 word 문서 solution.doc 에 인젝션

이번 공격 캠페인은 텔레그램 플랫폼을 통해 조직에서 멀웨어 배포와 즉시 사용 가능한 C2 서버 사용하는 추세로 확인

공격 그룹은 텔레그램을 통한 맬웨어 전파와 이를 통한 원격 접속과 공격을 점차 활용하여 현재 보안 시스템에 대한 우회도 가능하기에 보다 면밀한 보안 정책과 시스템 설정할 것을 권고

openLab