BabyShark 멀웨어는 북한의 국가 행위자와 관련된 비교적 새로운 멀웨어 변종입니다. 2019년 2월 Palo Alto Networks Unit 42 연구원에 의해 처음 확인되었습니다.
사이버보안 연구원들이 그 출처를 밝힐 수 있었던 이유는 북한과 관련된 스피어피싱 기법을 이용해 유포됐기 때문이다. 이 특별한 경우, 스피어 피싱 이메일은 미국의 주요 핵 전문가가 보낸 것처럼 보이도록 제작되었습니다. 이메일에는 전문가의 이름과 북한 핵미사일 프로그램의 핫버튼 문제와 관련된 주제가 포함되어 있습니다.
북한 해킹 그룹에 대한 또 다른 지적은 악성코드가 Hermit Kingdom과 관련된 KimJongRAT 및 STOLEN PENCIL 악성코드 변종과 동일한 침투 기술을 사용한다는 사실입니다.
BabyShark 맬웨어의 기능은 무엇입니까?
BabyShark 악성코드 감염의 첫 번째 단계는 악성 MS Excel 파일에 포함된 Microsoft Visual Basic 스크립트 실행입니다.
VB 스크립트는 레지스트리 키를 추가하고 사용자 정보, 시스템 정보, 시스템 이름, IP 주소, 실행 중인 작업 및 해당 버전을 찾는 명령을 실행하는 MS Word 및 Excel 모두에 대해 일련의 매크로 코드를 활성화합니다.
그런 다음 위조된 정보는 명령 및 제어 서버(C&C)로 보내지지만 certutil.exe라는 실행 파일을 사용하여 BabyShark 멀웨어에 의해 암호화되기 전에는 전송되지 않습니다. 이 초기 정보를 보낸 후 멀웨어 개체는 가만히 앉아서 C&C의 명령을 기다립니다.
멀웨어 조직 배후의 위협 행위자의 주요 목표는 동북아 국가 안보 문제와 관련된 정보 수집인 것으로 여겨집니다.
BabyShark 악성 코드를 제거하는 방법
BabyShark 악성코드는 MS Word 및 Excel 파일을 통해 유포되지만 그 자체가 파일리스 악성코드입니다. 즉, 필요한 만큼 실행할 수 있는 코드일 뿐이므로 특정 폴더에 상주하지 않습니다.
따라서 행동 모니터링, 애플리케이션 억제 및 엔드포인트 강화에 중점을 둔 소프트웨어를 제외하고 대부분의 맬웨어 방지 소프트웨어에서 매우 어려운 대상이 됩니다. 그렇기 때문에 Outbyte Anti-Malware를 권장합니다. 이러한 기술 등을 사용하는 것으로 알려져 있습니다.
맬웨어 방지 프로그램은 시스템에서 심층 정리를 수행하고 모든 맬웨어 개체를 제거하지만 네트워킹이 포함된 안전 모드에서 Windows 또는 Mac 장치를 실행해야 합니다. 그러면 맬웨어 개체가 자동 시작을 방해할 기회가 없습니다. 항목.
맬웨어 방지 프로그램이 작동한 후에는 PC 복구 도구를 배포하여 바이러스가 있을 가능성이 있는 오염된 다운로드 및 임시 폴더를 청소해야 합니다.
PC 복구 도구는 레지스트리 항목 파일의 손상도 복구합니다.
맬웨어 개체를 성공적으로 제거했으면 이제 다시는 감염되지 않도록 조치를 취해야 합니다.
BabyShark 악성 코드로부터 시스템 보호
BabyShark 맬웨어로부터 컴퓨터를 보호하는 가장 좋은 방법은 북한이 선호하는 종류의 스피어 피싱 캠페인에 휘말리지 않도록 주의하는 것입니다. 물론, 이메일과 첨부 파일은 매우 유혹적일 수 있지만, 그렇게 표시되는 데는 이유가 있음을 이해해야 합니다.
또한 이메일이 진짜인지 여부를 항상 다시 확인할 수 있는 옵션이 있습니다. BabyShark 악성코드의 경우, 미국의 유명한 핵 전문가가 무작위로 공유되는 이메일에서 북한 관련 파일을 공유할 가능성은 얼마나 됩니까? 보다? 정말 쉽습니다.
마지막으로 컴퓨터에 강력한 맬웨어 방지 도구가 항상 있어야 합니다. 가능한 한 자주 기기를 스캔하는 데 사용합니다.