Created: January 13, 2022 2:55 PM
1. 윈도우, 맥 OS, 리눅스를 노리는 새로운 SysJoker 백도어
윈도우, 리눅스, 맥 모두에서 탐지를 피할 수 있는 다중 플랫폼 백도어 악성코드 SysJoker가 발견되었다.
C++로 작성되었으며, VirusTotal의 안티바이러스 엔진 57개 모두 악성코드를 탐지할 수 없었다. 윈도우 기준으로 PowerShell 명령을 통해 dll 형식의 1단계 드로퍼를 사용한다.
- Github에서 SysJoker zip파일 가져오기
- C:\ProgramData\RecoverySystem에 압축 풀기
- 페이로드 실행
새 디렉토리를 만들기 전 최대 2분동안 절전모드로 전환되며, Intel Graphics Common User Interface Service("igfxCUIService.exe") 으로 자기 자신을 복사한다. 이후 LOtL(Living off the Land) 명령을 통해 기기 정보를 수집하고, 임시 텍스트 파일에 결과를 기록한 후, 해당 파일은 즉시 삭제되고 json에 저장된 후 인코딩되어 microsoft_Windows.dll 에 기록된다.
이후 Run 레지스트리키를 통해 지속성을 얻고, 이후에 하드코딩된 C2 서버에 접근한다.(https://drive[.]google[.]com[/]uc?export=download&id=1W64PQQxrwY3XjBnv_QAeBQu-ePr537eu)
리눅스와 맥에서는 1단계 드로퍼가 없지만 결론적으로는 감염된 기기에서 동일한 악성 행위가 수행된다.
IOC
Windows
- C:\ProgramData\RecoverySystem 폴더 하위
- C:\ProgramData\SysteamData\igfxCUIService.exe
- C:\ProgramData\SystemData\microsoft_Windows.dll
Linux
- /.Library/ 아래에 생성되는 파일 및 디렉토리
- @reboot(/.Library/SystemServices/updateSystem) cron 작업을 생성하여 지속성 확보
macOS
- /Libary/
- /Library/LaunchAgents/com.apple.update.plist 경로에서 LaunchAgent를 통해 지속성 확보
C2 domain
- https[://]bookitlab[.]tech
- https[://]winaudio-tools[.]com
- https[://]graphic-updater[.]com
- https[://]github[.]url-mini[.]com
- https[://]office360-update[.]com
- https[://]drive[.]google[.]com/uc?export=download&id=1-NVty4YX0dPHdxkgMrbdCldQCpCaE-Hn
- https[://]drive[.]google[.]com/uc?export=download&id=1W64PQQxrwY3XjBnv_QaeBQu-ePr537eu2. AWS와 Azure를 이용한 대규모 정보 탈취 캠페인
Reference: https://www.boannews.com/media/view.asp?idx=104088&page=1&mkind=1&kind=1
AWS, Azure를 이용하여 클라우드 서비스에 악성코드를 호스팅해놓은 상태에서 피해자들에게 악성 zip 파일 및 iso 파일이 첨부된 이메일을 전송하는 캠페인이 확인되었다.
사용된 악성코드는 AsyncRAT, Netwire, Nanocore이며 장보 탈취형 악성코드이다. 최소 작년 10월부터 진행되었다고 한다.
'깔짝할짝' 카테고리의 다른 글
| 2022-01-18 Tue (0) | 2022.01.18 |
|---|---|
| 2022-01-17 Mon (0) | 2022.01.17 |
| 2022-01-12 Wed (0) | 2022.01.12 |
| 2022-01-11 Tue (0) | 2022.01.11 |
| 2022-01-10 Mon (0) | 2022.01.10 |