최근 미국 참전용사들은 일자리를 제공하는 조직으로 위장한 가짜 웹사이트로 인해 혼란을 겪고 있습니다. 다행히 그들 중 많은 사람들이 이에 대한 진실을 알고 공격자가 피해자의 컴퓨터를 완전히 제어할 수 있는 멀웨어를 배포할 목적으로만 만들어졌다는 것을 깨달았습니다.
Cisco Talos Group의 연구원에 따르면 이 조직은 HMH(Hire Military Heroes)라고 합니다. 재향 군인이 사이트를 방문하면 구직에 도움이 된다고 광고되는 데스크톱 응용 프로그램을 다운로드하도록 유도할 것입니다.
Cisco Talos Group은 이 웹사이트의 제작자와 공격자가 Tortoiseshell임을 강조했습니다. 많은 IT 회사가 고객 데이터베이스를 검색하도록 표적으로 삼은 새로 식별된 공격자입니다.
그룹은 또한 "이것은 Tortoiseshell의 최신 작업일 뿐입니다. 이전 연구에 따르면 해당 행위자는 사우디아라비아의 IT 제공업체에 대한 공격자의 배후에 있었습니다. Talos가 추적한 이 캠페인에 대해 Tortoiseshell은 과거와 동일한 백도어를 사용하여 동일한 TTP(전술, 기술 및 절차)에 의존하고 있음을 보여주었습니다."
이 가짜 재향 군인 채용 웹사이트는 어떻게 맬웨어를 퍼뜨립니까?
분명히 이 악성코드는 미국 참전용사를 대상으로 합니다. 따라서 기술에 정통하지 않거나 이 가짜 베테랑 채용 웹사이트에 맬웨어가 있다는 사실을 전혀 모르는 경우 요청받은 일을 하도록 재빨리 유인됩니다.
작동 방식은 다음과 같습니다. 사이트를 방문하면 장치용 프로그램을 다운로드하라는 메시지가 표시됩니다. Windows 컴퓨터의 경우 멀웨어는 win10.exe라는 프로그램이 포함된 zip 파일로 제공됩니다.
프로그램이 시작되면 "Hire Military Heroes는 군대를 고용하기 위한 새로운 자원입니다."라는 작은 로딩 화면이 나타납니다. 피해자들에게 현재 데이터베이스에 연결하고 있다는 것을 설득하려고 합니다.
사실은 화면이 표시되는 동안 멀웨어가 이미 두 개의 다른 멀웨어 개체를 다운로드하여 컴퓨터에 저장하고 있다는 것입니다.
나중에 "귀하의 보안 솔루션이 우리 서버에 대한 연결을 종료하고 있습니다."라는 경고가 화면에 깜박입니다. 가짜 경고는 프로그램이 안전하고 합법적인 것처럼 보이게 하기 위해서만 표시됩니다.
이 시점에서 두 개의 맬웨어 개체가 이미 다운로드되어 백그라운드에서 실행되고 있습니다. 첫 번째 악성코드는 피해자와 컴퓨터에 대한 정보를 수집하고 다른 하나는 공격자가 제공한 모든 명령을 실행합니다.
맬웨어는 사용자 정보를 어떻게 수집합니까?
다운로드된 첫 번째 맬웨어 개체는 총 111개의 명령을 실행합니다. 이들 모두는 피해자와 컴퓨터에 대한 모든 정보를 수집하기 위한 것입니다.
실행되면 명령은 컴퓨터에 있는 모든 파일, 드라이브에 대한 정보, 모든 활성 프로세스, 유용한 네트워킹 정보, 모든 네트워크 공유, 방화벽 데이터, 장치에 구성된 기존 사용자 계정 및 기타 세부 정보를 나열합니다. .
모든 정보가 수집되면 모든 것이 %Temp%\si.cab이라는 파일에 저장됩니다. 그런 다음 피해자의 Gmail 이메일 자격 증명을 사용하여 공격자에게 다시 전송됩니다.
맬웨어는 공격자가 보낸 명령을 어떻게 실행합니까?
언급한 바와 같이 피해자의 컴퓨터에 다운로드되는 두 개의 맬웨어 개체가 있습니다. 첫 번째는 정보를 수집하고 두 번째는 공격자가 보낸 모든 명령을 실행합니다.
두 번째 멀웨어 엔티티는 원격 액세스 트로이 목마의 형태를 취합니다. Windows 서비스로 설치되며 이름은 dllhost입니다. 자동으로 시작하도록 구성되어 있으므로 Windows가 시작될 때마다 실행되어야 합니다.
활성화되면 트로이 목마는 작성자 및 제어 서버와 다시 통신합니다. 악성코드는 이러한 서버를 통해 파일 업로드, 서비스 종료 또는 다른 명령 실행 명령을 수신합니다.
현재까지 악성코드가 어떻게 유포되는지 알 수 없습니다. 연구자들은 “출판 당시 사용된 유통 방법도 없고 야생에 존재한다는 증거도 없다. 사용된 .NET 바이너리에는 하드 코딩된 자격 증명과 같은 열악한 OPSEC 기능이 있지만 멀웨어를 모듈식으로 만들고 피해자가 이미 실행했음을 인식하는 다른 고급 기술이 있기 때문에 정교함 수준은 낮습니다.”
그들은 또한 "APT의 여러 팀이 이 악성코드의 여러 요소에 대해 작업했을 가능성이 있습니다. 기존의 특정 수준의 정교함과 다양한 수준의 피해를 볼 수 있기 때문입니다."
맬웨어 방지 팁
맬웨어 개체로부터 컴퓨터를 보호하려면 예방 조치를 취해야 합니다. 다음은 고려해야 할 몇 가지 유용한 팁입니다.
팁 #1:맬웨어 방지 소프트웨어를 설치합니다.
이것은 명백한 팁처럼 보일 수 있지만 많은 사람들은 이를 무시하는 것을 선호합니다. 예, 컴퓨터에 이미 맬웨어 방지 보호 기능이 내장되어 있을 수 있습니다. 그러나 그렇게 확신할 수는 없습니다. 보안 수준을 한 단계 높이려면 신뢰할 수 있는 타사 맬웨어 방지 소프트웨어를 컴퓨터에 설치하는 것이 좋습니다. 맬웨어 방지 도구를 설치한 후 다음 조치는 OS를 최신 상태로 유지하는 것입니다.
팁 #2:운영 체제를 최신 상태로 유지하십시오.
macOS, Linux 또는 Windows를 실행하는지 여부에 관계없이 항상 최신 상태로 유지하는 것이 귀하의 임무입니다. OS 개발자는 이전에 보고된 버그 및 문제를 수정하기 위한 보안 패치를 출시하기 위해 항상 노력하고 있습니다.
팁 #3:네트워크가 안전한지 확인하십시오.
우리 모두는 프린터, 다른 컴퓨터, 그리고 물론 인터넷에 연결하기 위해 컴퓨터를 사용합니다. 모든 연결이 안전한지 확인하려면 강력한 암호를 사용해야 합니다.
또한 가능하면 개방형 WiFi 네트워크를 브로드캐스트하지 마십시오. WEP가 이미 구식이므로 WPA 또는 WPA2 암호화를 사용하는 것이 이상적입니다. 단 몇 분 만에 해커는 이미 WEP 암호화를 우회할 수 있습니다.
또한 SSID 또는 WiFi 네트워크 이름을 브로드캐스트하지 않는 것이 좋습니다. 이는 기기에서 네트워크를 수동으로 설정해야 함을 의미할 수 있지만 더 안전한 네트워크를 제안하기도 합니다.
팁 #4:클릭하기 전에 생각하십시오.
이것은 상식의 사용이 필요한 또 다른 팁입니다. 이메일을 보낸 사람을 모르는 경우 아무 것도 클릭하지 마십시오. 링크 위로 마우스를 가져가는 습관을 들이면 링크가 어디로 가는지 알 수 있습니다. 또한 웹에서 파일을 다운로드해야 하는 경우 먼저 스캔한 후 실행하십시오.
팁 #5:개방형 WiFi 네트워크에 연결하지 마십시오.
도서관, 커피숍, 공항과 같은 공공 장소에 있을 때는 개방형 WiFi 네트워크에 연결하지 마십시오. 특히 은행 앱이나 기밀 문서에 액세스하는 경우 이 작업을 수행해야 합니다. 공격자가 같은 네트워크에 있고 다음 희생자가 미끼에 빠질 때까지 참을성 있게 기다리고 있을 가능성이 있습니다.
팁 #6:중요한 파일을 백업하십시오.
최악의 상황이 발생했을 때 할 수 있는 최선의 방법은 중요한 파일을 백업하는 것입니다. 이상적으로는 백업을 별도의 저장 장치에 저장해야 합니다. 이렇게 하면 때가 되면 더 이상 컴퓨터를 열 수 없을 때 백업을 쉽게 복원하고 다른 장치에서 파일과 문서를 준비할 수 있습니다.
팁 #7:조치를 취하십시오.
여기에 공유된 모든 팁과 정보는 아무것도 하지 않으면 소용이 없습니다. 물론 맬웨어 공격을 방지하기 위해 주도권을 잡고 할 수 있는 모든 조치를 취해야 합니다. 맬웨어 방지 소프트웨어를 설치하지 않으면 위협이 시스템을 파괴할 방법을 찾을 때가 옵니다.
여기서 요점은 조치를 취하는 것입니다. 컴퓨터 앞에 앉아 있는 것만으로는 맬웨어 개체에 대해 아무 소용이 없습니다.
요약
그들이 항상 말하는 것처럼 "너무 좋아서 사실이라면 그렇지 않을 수도 있습니다." 그것에 대해 생각해보십시오. 일자리를 벌어야 합니다. 프로그램이나 앱을 다운로드하는 것만으로는 쉽게 착륙할 수 없습니다. 구직에 도움이 되는 프로그램을 다운로드하라는 웹사이트를 발견했다면 즉시 닫으십시오. 많은 합법적인 웹사이트에서 항상 괜찮은 일자리를 찾을 수 있습니다.
똑똑해. 이러한 사기 수법에 속지 마십시오. 해커가 중요한 정보를 훔칠 방법을 찾지 못하도록 예방 조치를 구현하세요.
이전에 다른 유사한 맬웨어 개체를 만난 적이 있습니까? 어떻게 처리했습니까? 댓글로 알려주세요.