글로벌 보안 장비 감시망 우회한 채 정상 구동 중인 신규 C2 서버 적발
문자열 암호화 및 무의미한 루프 삽입으로 자동화 분석 도구 무력화
[보안뉴스 김형근 기자] 가상자산 지갑 주소를 무단 변경하는 클립보드 하이재커 기능과 디스코드(Discord) 계정 탈취 모듈을 탑재한 악성코드가 등장했다. 팔로알토 네트웍스가 분석한 그렘린 스틸러(Gremlin Stealer) 최신 변종은 피해자의 웹 브라우저 쿠키와 VPN 인증 정보 등 민감 데이터를 탈취해 공격자 서버로 전송하며 직접적인 금전 피해를 유발하고 있다.
▲Gremlin Stealer 로그인 페이지 [출처: 팔로알토 유닛42]
글로벌 보안 기업 팔로알토 네트웍스(Palo Alto Networks)의 위협 인텔리전스 조직 유닛 42(Unit 42)는 난독화 기술을 고도화한 악성코드 그렘린 스틸러의 새로운 변종을 발견했다고 22일 발표했다.
팔로알토의 최신 분석 보고서에 따르면 이번 변종은 명령 제어(C2) 서버주소와 데이터 유출 경로를 프로그램 내부의 암호화된 자원 영역인 .NET resource section에 숨겨 전통적인 정적 탐지 기술을 무력화했다. 초기 버전에서 난독화 조치 없이 함수를 노출했던 것에서 진화해 최신 변종은 함수 이름을 무의미한 문자로 변경하고 문자열을 암호화하며 실행 경로에 무의미한 분기점을 대량 삽입하는 등 다중 방어막을 구축했다.
그렘린 스틸러는 웹 브라우저 쿠키부터 세션 토큰, 가상자산 지갑 데이터, VPN 인증 정보까지 다양한 정보를 광범위하게 수집한다. 수집된 정보는 피해자의 공인 IP 주소를 이름으로 한 압축 파일로 생성돼 공격자의 서버로 전송된다.
이번 변종은 온라인 커뮤니티 플랫폼 디스코드(Discord)의 계정 접근 권한 토큰을 훔치는 전용 모듈과 사용자가 복사한 가상자산 지갑 주소를 실시간으로 변경하는 클립보드 하이재커(Clipboard Hijacker) 기능을 통해 직접적인 금전 갈취를 시도했다.
팔로알토 분석가들이 데이터 유출 경로를 추적한 결과, 새롭게 만들어진 악성 C2 서버는 최초 발견 당시 바이러스토탈(VirusTotal)에서 악성으로 분류되지 않았다. 해커들의 거점이 감시망을 우회한 상태로 구동되고 있었던 셈이다.
팔로알토 측은 “이번 그렘린 스틸러 변종은 정적 스캔 방식의 약점을 파고든 심각한 보안 위협”이라며 “기업 보안 담당자들은 단순 파일 형태만 검사하는 방식을 지양하고, 시스템 내부의 비정상적 행위를 실시간으로 감시하는 행동 기반 탐지 수칙을 마련해야 한다”고 조언했다.
[김형근 기자(editor@boannews.com)]
문자열 암호화 및 무의미한 루프 삽입으로 자동화 분석 도구 무력화
[보안뉴스 김형근 기자] 가상자산 지갑 주소를 무단 변경하는 클립보드 하이재커 기능과 디스코드(Discord) 계정 탈취 모듈을 탑재한 악성코드가 등장했다. 팔로알토 네트웍스가 분석한 그렘린 스틸러(Gremlin Stealer) 최신 변종은 피해자의 웹 브라우저 쿠키와 VPN 인증 정보 등 민감 데이터를 탈취해 공격자 서버로 전송하며 직접적인 금전 피해를 유발하고 있다.
▲Gremlin Stealer 로그인 페이지 [출처: 팔로알토 유닛42]
글로벌 보안 기업 팔로알토 네트웍스(Palo Alto Networks)의 위협 인텔리전스 조직 유닛 42(Unit 42)는 난독화 기술을 고도화한 악성코드 그렘린 스틸러의 새로운 변종을 발견했다고 22일 발표했다.
팔로알토의 최신 분석 보고서에 따르면 이번 변종은 명령 제어(C2) 서버주소와 데이터 유출 경로를 프로그램 내부의 암호화된 자원 영역인 .NET resource section에 숨겨 전통적인 정적 탐지 기술을 무력화했다. 초기 버전에서 난독화 조치 없이 함수를 노출했던 것에서 진화해 최신 변종은 함수 이름을 무의미한 문자로 변경하고 문자열을 암호화하며 실행 경로에 무의미한 분기점을 대량 삽입하는 등 다중 방어막을 구축했다.
그렘린 스틸러는 웹 브라우저 쿠키부터 세션 토큰, 가상자산 지갑 데이터, VPN 인증 정보까지 다양한 정보를 광범위하게 수집한다. 수집된 정보는 피해자의 공인 IP 주소를 이름으로 한 압축 파일로 생성돼 공격자의 서버로 전송된다.
이번 변종은 온라인 커뮤니티 플랫폼 디스코드(Discord)의 계정 접근 권한 토큰을 훔치는 전용 모듈과 사용자가 복사한 가상자산 지갑 주소를 실시간으로 변경하는 클립보드 하이재커(Clipboard Hijacker) 기능을 통해 직접적인 금전 갈취를 시도했다.
팔로알토 분석가들이 데이터 유출 경로를 추적한 결과, 새롭게 만들어진 악성 C2 서버는 최초 발견 당시 바이러스토탈(VirusTotal)에서 악성으로 분류되지 않았다. 해커들의 거점이 감시망을 우회한 상태로 구동되고 있었던 셈이다.
팔로알토 측은 “이번 그렘린 스틸러 변종은 정적 스캔 방식의 약점을 파고든 심각한 보안 위협”이라며 “기업 보안 담당자들은 단순 파일 형태만 검사하는 방식을 지양하고, 시스템 내부의 비정상적 행위를 실시간으로 감시하는 행동 기반 탐지 수칙을 마련해야 한다”고 조언했다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
