[보안뉴스 한세희 기자] 마이크로소프트 협업 메신저 팀즈를 활용해 사용자 기기에 악성 코드를 심는 ‘비싱’(보이스 피싱) 공격이 포착됐다.
사이버보안 기업 온티뉴는 비싱과 원격 접근 도구 등을 활용한 정교한 다단계 공격을 발견했다고 밝혔다. 간단한 소셜 엔지니어링으로 시작해 사용자 기기를 제어하는 심각한 수준의 공격으로 발전시킨 사례라는 설명이다.
[자료: 게티이미지코리아]
공격자는 팀즈의 외부인 채팅 기능으로 메시지를 보내 말웨어 다운로드를 위한 파워쉘 실행을 유도한다. 통화도 병행하면서 신뢰를 쌓아 성공 가능성을 높인다. 파워쉘 실행 과정에서 윈도우 원격 지원 도구인 ‘퀵 어시스트’(Quick Assist)가 공격자에 원격 접근 권한을 제공하는데 쓰이게 된다.
이후 말웨어 다운로드가 본격적으로 시작된다. 수상한 IP 주소에서 ‘TeamViewer.exe’라는 파일을 숨겨진 폴더에 내려 받고, 이는 다시 ‘TV.dll’이라는 악성 모듈을 다운로드한다. 이 모듈은 처음 말웨어 다운로드를 위해 통신한 IP와 사용자 기기를 연결한다.
공격자는 컴퓨터가 켜질 때마다 말웨어가 자동적으로 작동하도록 시작 폴더에 바로가기 파일을 만든다. BITS (Background Intelligent Transfer Service) 기능으로 최대 90일까지 드러나지 않게 파일을 전송한다.
또 TeamView.exe 파일은 ‘index.js’이라는 자바스크립트 기반 백도어도 생성한다. 이 백도어는 ‘node.js’를 통해 실행되어 소켓 연결을 통해 공격자에게 완전한 기기 제어 권한을 부여한다.
이 공격은 마이크로소프트가 ‘스톰-1811’로 분류한 해커 그룹과 유사한 특징을 공유하고 있어 연관성이 강하게 의심된다고 온티뉴는 밝혔다.
[한세희 기자(boan@boannews.com)]
사이버보안 기업 온티뉴는 비싱과 원격 접근 도구 등을 활용한 정교한 다단계 공격을 발견했다고 밝혔다. 간단한 소셜 엔지니어링으로 시작해 사용자 기기를 제어하는 심각한 수준의 공격으로 발전시킨 사례라는 설명이다.
[자료: 게티이미지코리아]
공격자는 팀즈의 외부인 채팅 기능으로 메시지를 보내 말웨어 다운로드를 위한 파워쉘 실행을 유도한다. 통화도 병행하면서 신뢰를 쌓아 성공 가능성을 높인다. 파워쉘 실행 과정에서 윈도우 원격 지원 도구인 ‘퀵 어시스트’(Quick Assist)가 공격자에 원격 접근 권한을 제공하는데 쓰이게 된다.
이후 말웨어 다운로드가 본격적으로 시작된다. 수상한 IP 주소에서 ‘TeamViewer.exe’라는 파일을 숨겨진 폴더에 내려 받고, 이는 다시 ‘TV.dll’이라는 악성 모듈을 다운로드한다. 이 모듈은 처음 말웨어 다운로드를 위해 통신한 IP와 사용자 기기를 연결한다.
공격자는 컴퓨터가 켜질 때마다 말웨어가 자동적으로 작동하도록 시작 폴더에 바로가기 파일을 만든다. BITS (Background Intelligent Transfer Service) 기능으로 최대 90일까지 드러나지 않게 파일을 전송한다.
또 TeamView.exe 파일은 ‘index.js’이라는 자바스크립트 기반 백도어도 생성한다. 이 백도어는 ‘node.js’를 통해 실행되어 소켓 연결을 통해 공격자에게 완전한 기기 제어 권한을 부여한다.
이 공격은 마이크로소프트가 ‘스톰-1811’로 분류한 해커 그룹과 유사한 특징을 공유하고 있어 연관성이 강하게 의심된다고 온티뉴는 밝혔다.
[한세희 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpeg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
