.gif)
강력한 원격 접속 트로이목마 ‘벨리랫’ 유포... 보안 감시망 무력화하며 시스템 장악
[보안뉴스 원병철 기자] 중국 배후의 해킹 그룹 실버폭스(Silver Fox)가 텔레그램 중국어 언어 팩 설치 프로그램으로 위장한 신종 악성코드 캠페인을 전개하고 있다. 일반적인 MSI(Microsoft Installer) 설치 프로그램으로 위장한 이 악성 파일은 보안 연구원 CNGaoLing이 MalwareBazaar에 보고하면서 알려졌다.
[출처: gettyimagesbank]
실버폭스는 사용자가 안심하고 사용하는 소프트웨어를 사칭해 원격 제어 악성코드인 벨리랫(ValleyRAT)을 은밀히 유포하고 있다. 또한 이들은 프로그램 설치 목록에 흔적조차 남기지 않는 은폐 설계를 통해, 보안 감시망을 무력화하며 시스템 장악을 시도하는 위협을 가하고 있다.
이번 공격에서 해커들은 탐지를 피하기 위해 무려 6단계에 걸친 복잡한 감염 체인을 가동하며, 암호화된 압축 파일과 XOR 연산을 활용했다. 이 과정에서 활용된 악성코드는 기존 백신의 시그니처 탐지망을 우회하도록 정밀하게 설계됐으며, 백신이 위협을 인지하지 못하도록 속여 넘기는 치밀함을 보였다.
특히 치후 360, 텐센트 PC 매니저 등 중국 내 주요 보안 제품의 실행 여부를 확인한 뒤, 맞춤형 우회 전략을 펼쳤다. 만약 보안 제품이 탐지되면 바이트댄스(ByteDance)의 정상 서명 파일을 악용하는 DLL 사이드 로딩 기법을 동원해 감시망을 무력화했다. 해커들은 또한 공격 과정에서 wnBios라는 커널 루트킷을 로드해 운영체제 메모리에 직접 접근하고, 커널 수준의 보안 도구를 중단시켰다.
이들은 홍콩의 불법 호스팅 서버를 명령제어(C2) 서버로 활용하며, 감염된 PC에서 화면 캡처나 스태가노그래피 통신을 정밀하게 수행했다. 시스템 최고 권한을 탈취한 뒤에는 주기적인 실행 작업을 등록해, 공격자가 언제든 다시 접근할 수 있도록 공격 지속성을 고착화했다.
보안 전문가들은 이들이 과거에도 줌, 팀즈 등을 사칭했던 전력이 있는 만큼, 배포처가 불분명한 파일 설치를 경고했다.
현재 해당 C2 서버 아이피(118.107.43.65)에 대한 차단과 함께, 비정상적인 압축 도구 실행 여부를 자세히 모니터링해야 하는 심각한 상황이다.
실버폭스의 이번 캠페인은 일상적인 소프트웨어 업데이트를 공격 도구로 변모시켰으며, 커널 루트킷과 6단계 우회 전술을 결합해 기존 보안 체계를 무력화했다. 이는 기업과 개인 사용자 모두에게 보안 의식 강화와 엄중한 시스템 감시를 요구하는 중요한 신호로 받아들여야 한다고 전문가들은 조언했다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 중국 배후의 해킹 그룹 실버폭스(Silver Fox)가 텔레그램 중국어 언어 팩 설치 프로그램으로 위장한 신종 악성코드 캠페인을 전개하고 있다. 일반적인 MSI(Microsoft Installer) 설치 프로그램으로 위장한 이 악성 파일은 보안 연구원 CNGaoLing이 MalwareBazaar에 보고하면서 알려졌다.
[출처: gettyimagesbank]
실버폭스는 사용자가 안심하고 사용하는 소프트웨어를 사칭해 원격 제어 악성코드인 벨리랫(ValleyRAT)을 은밀히 유포하고 있다. 또한 이들은 프로그램 설치 목록에 흔적조차 남기지 않는 은폐 설계를 통해, 보안 감시망을 무력화하며 시스템 장악을 시도하는 위협을 가하고 있다.
이번 공격에서 해커들은 탐지를 피하기 위해 무려 6단계에 걸친 복잡한 감염 체인을 가동하며, 암호화된 압축 파일과 XOR 연산을 활용했다. 이 과정에서 활용된 악성코드는 기존 백신의 시그니처 탐지망을 우회하도록 정밀하게 설계됐으며, 백신이 위협을 인지하지 못하도록 속여 넘기는 치밀함을 보였다.
특히 치후 360, 텐센트 PC 매니저 등 중국 내 주요 보안 제품의 실행 여부를 확인한 뒤, 맞춤형 우회 전략을 펼쳤다. 만약 보안 제품이 탐지되면 바이트댄스(ByteDance)의 정상 서명 파일을 악용하는 DLL 사이드 로딩 기법을 동원해 감시망을 무력화했다. 해커들은 또한 공격 과정에서 wnBios라는 커널 루트킷을 로드해 운영체제 메모리에 직접 접근하고, 커널 수준의 보안 도구를 중단시켰다.
이들은 홍콩의 불법 호스팅 서버를 명령제어(C2) 서버로 활용하며, 감염된 PC에서 화면 캡처나 스태가노그래피 통신을 정밀하게 수행했다. 시스템 최고 권한을 탈취한 뒤에는 주기적인 실행 작업을 등록해, 공격자가 언제든 다시 접근할 수 있도록 공격 지속성을 고착화했다.
보안 전문가들은 이들이 과거에도 줌, 팀즈 등을 사칭했던 전력이 있는 만큼, 배포처가 불분명한 파일 설치를 경고했다.
현재 해당 C2 서버 아이피(118.107.43.65)에 대한 차단과 함께, 비정상적인 압축 도구 실행 여부를 자세히 모니터링해야 하는 심각한 상황이다.
실버폭스의 이번 캠페인은 일상적인 소프트웨어 업데이트를 공격 도구로 변모시켰으며, 커널 루트킷과 6단계 우회 전술을 결합해 기존 보안 체계를 무력화했다. 이는 기업과 개인 사용자 모두에게 보안 의식 강화와 엄중한 시스템 감시를 요구하는 중요한 신호로 받아들여야 한다고 전문가들은 조언했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
