청호PENTEST - Professional Penetration Testing Company

Select Language
사용자가 방문하는 곳 어디인가 알아보고, 다음 단계 공격 전략 짤 수 있게
민감한 정보 수집해 전달하고 키로깅하고...USB를 통한 감염 확산도 꾀해


 보안 업체 지스케일러(ZSclaer)의 전문가들이 새로운 원격 접근 트로이목마(RAT)를 발견했다. 장비를 감염시킨 이후 크롬 브라우저에 저장된 히스토리 정보를 뒤져 사용자가 가장 많이 방문한 웹사이트들을 파악하고, 공격자들은 이 정보를 통해 가장 효율적인 공격 전략을 짠다고 한다.

[이미지 = iclickart]


이 RAT의 이름은 새프코(Saefko)로, 사용자의 크롬 히스토리 목록에서 다음과 같은 것들을 찾기 위해 검색한다고 한다.
1) 신용카드와 관련된 웹사이트 최소 70개
2) 온라인 및 PC 게임과 관련된 웹사이트 최소 28개
3) 암호화폐와 관련된 웹사이트 최소 71개
4) 쇼핑 및 온라인 구매와 관련된 웹사이트 최소 54개
5) 비즈니스와 금융 관련 웹사이트 최소 30개
6) 소셜 미디어 : 인스타그램, 페이스북, 유튜브, 구글플러스, 지메일

그것 외에도 사용자의 애플리케이션 데이터도 수집한다. 특히 다음과 관련된 것들이다.
1) 인터넷 릴레이 챗(IRC) 프로토콜
2) 기계 아키텍처
3) 위치 정보
4) 특정 웹사이트에 사용자가 접속한 횟수
5) 사용자가 자주 접속한 웹사이트의 종류
이 모든 정보들은 공격자가 운영하는 C&C 서버로 전달된다.

새프코는 닷넷(.NET)으로 작성되어 있으며 다음과 같은 기능을 가지고 있다.
1) 민감한 정보에 접근한 후 추출
2) 키로깅
3) 스크린샷 캡처
4) 웹캠 활성화
5) 드라이브 포맷
6) 추가 프로그램 다운로드 등

새 프코는 현재 다크웹 시장에서 판매되고 있는 중이라고 한다. 이를 발견한 지스케일러의 라지딥신 도디아(Rajdeepsinh Dodia)와 프리양카 바티(Priyanka Bhati)는 “굉장히 많은 프로토콜과 OS를 공략할 수 있는 원격 접근 툴로, 윈도우와 안드로이드 기반 장비들에 또 다른 멀웨어 공격 등을 실시할 수 있게 해주는 기능을 가지고 있다는 식으로 광고되고 있다”고 말한다.

새프코는 네 개의 감염 모델을 보유하고 있다고 지스케일러는 설명한다.
1) HTTP Clinet(아마도 client를 잘못 쓴 것으로 보인다) : 감염된 기계와 C&C 서버 사이에 통신 채널을 만든다.
2) keylogger
3) IRC Helper : 악성 IRC 연결을 성립하고 여러 가지 명령을 실시한다.
4) Start USB Service : 감염된 시스템에 연결된 휴대용 드라이브에 멀웨어를 심는다.

“RAT 유형의 멀웨어들로부터 컴퓨터를 보호하려면 신뢰할 수 없는 곳에서 프로그램을 다운로드 받거나 첨부 파일을 여는 행위를 하지 말아야 합니다. 관리자라면 사용하지 않는 포트를 항상 닫아두고, 사용하지 않는 서비스들을 찾아 비활성화시키며, 바깥으로 나가는 트래픽을 항상 모니터링하는 게 중요합니다.” 지스케일러의 권고 사항이다.
번호 제목 닉네임 조회 등록일
8183 최소 23개 텍사스 지방 정부, 랜섬웨어 공격받아 새 글
[레벨:30]관리자
  2019-08-20
8182 신종 랜섬웨어 ‘Sodin’ 유포중 주의…윈도 제로데이 취약점 악용 새 글
[레벨:30]관리자
  2019-08-20
8181 러시아 문서로 위장한 ‘코니(KONNI)’의 APT 공격 발견 새 글
[레벨:30]관리자
  2019-08-20
8180 고도화 표적 공격, 구글 드라이브로 메일 보안 장치 무력화시켜
[레벨:30]관리자
  2019-08-19
8179 1억 번 이상 다운로드 된 앱 34개에서 광고 사기 멀웨어 발견
[레벨:30]관리자
1 2019-08-15
8178 처음 등장하는 안드로이드 뱅킹 트로이목마, 케르베로스
[레벨:30]관리자
3 2019-08-15
8177 SQLite 취약점 공격, 막강한 공격 및 방어 수단 될 수 있어
[레벨:30]관리자
  2019-08-14
8176 견적요청 악성메일 또... 실제 기업 사칭해 피해 커져
[레벨:30]관리자
1 2019-08-14
8175 中 이동전화 바이러스, 요금 소모·차감·정보절취류 위주
[레벨:30]관리자
  2019-08-14
8174 中 “7월 바이러스 감염 컴퓨터 81만 여대... 보안사건 1,900건”
[레벨:30]관리자
1 2019-08-13
8173 또 입사지원서? 비너스락커 조직 ‘소디노키비 랜섬웨어’ 다시 유포
[레벨:30]관리자
1 2019-08-13
Selected 크롬 히스토리 분석해 공격 전략 마련케 해주는 멀웨어, 새프코
[레벨:30]관리자
1 2019-08-13
8171 1,768만 회원 중고나라 ‘피싱’ 사기! 안전거래 사칭 네이버 계정 탈취 시도
[레벨:30]관리자
1 2019-08-12
8170 한국 포함 15개국 공격…중국 해킹그룹 ‘APT41’ 분석
[레벨:30]관리자
  2019-08-09
8169 누구 기획일까? 대규모 도메인 스푸핑 공격 발견돼
[레벨:30]관리자
  2019-08-09
8168 실제 기계회사 사칭한 ‘견적 요청’ 악성메일 떴다
[레벨:30]관리자
  2019-08-09
8167 러시아의 APT 그룹 세드닛, 사물인터넷 장비 통해 침투 시작
[레벨:30]관리자
1 2019-08-08
8166 한국어 메시지 사용하는 메이즈 랜섬웨어 주의
[레벨:30]관리자
  2019-08-08
8165 ‘납세서’ 이메일 열었다간 PC 정보 탈취당한다
[레벨:30]관리자
1 2019-08-07
8164 中 상반기 안드로이드 폰 바이러스 증가세 완화
[레벨:30]관리자
  2019-08-07
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X