New Bookworm Malware using SLL sideloading technique To Windows
New Bookworm Malware using SLL sideloading technique To Windows
Cybersecurity researchers disclosed the resurgence of the Bookworm malware, which has been linked to the Stately Taurus threat actor group.
gbhackers.com
- 개요
- Bookworm 악성코드가 Stately Taurus 위협 그룹과 연관되어 재등장
- DLL 사이드로딩 기법을 활용하여 Windows 시스템에 효과적으로 침투
- 2015년 처음 발견된 이후, 동일 인프라 및 전술을 지속적으로 사용
- 공격 대상 및 위협 그룹 연관성
- Stately Taurus 그룹
- 동남아시아 국가연합(ASEAN) 내 기관들을 주요 타겟으로 공격 수행
- 과거 PubLoad 악성코드 사용 이력이 있으며, DLL 사이드로딩 기법을 지속적으로 활용
- Bookworm과 ToneShell 백도어 연관성
- 두 악성코드 모두 유사한 디버그 경로와 인프라 공유
- 동일 개발팀에 의해 제작된 것으로 추정되며 정부 기관 대상 사이버 스파이 활동 수행
- Stately Taurus 그룹
- Bookworm 악성코드의 기술적 특징
- DLL 사이드로딩 메커니즘
- 자동화 소프트웨어 서명된 합법적 실행 파일을 악용해 악성 페이로드 로딩
- BrMod104.dll: PubLoad 변종으로 확인, C2 서버와 통신 수행
- 우회 및 은폐 기법
- Windows 업데이트 요청 위장하여 합법적인 HTTP 트래픽으로 가장
- Microsoft 서버를 모방해 탐지 회피 및 정상 트래픽과 혼동 유발
- 모듈형 아키텍처
- 유연한 배포 및 기능 추가 가능
- 초기 버전과 큰 차이 없이 안정적 구조 유지 → 지속적인 위협 요소
- DLL 사이드로딩 메커니즘
- 탐지 회피 및 통신 방법
- 명령제어(C2) 통신
- 암호화된 통신 사용 → 분석 및 탐지 어려움 증가
- C2 서버와의 지속적 연결 유지를 위해 정상 서비스 트래픽으로 위장
- 프로세스 주입 및 악성 코드 실행
- 정상 프로세스에 악성 DLL을 주입하여 권한 상승 및 시스템 제어 확보
- 명령제어(C2) 통신
- 보안 권고
- 탐지 및 차단 강화
- DLL 사이드로딩 탐지 규칙 적용 및 의심 프로세스 모니터링
- 합법적 실행 파일 경로 및 이름 검증을 통한 우회 기법 차단
- 행위 기반 탐지 및 머신러닝 기술 적용
- 비정상적인 네트워크 트래픽 및 Windows 업데이트 위장 시도 탐지
- 행위 기반 탐지 시스템(BEPS) 및 머신러닝 기반 보안 솔루션 활용
- 조직 내 보안 인식 및 교육 강화
- 사용자 대상 피싱 이메일 주의 교육 및 악성 파일 실행 경고
- 업데이트되지 않은 소프트웨어 사용 금지 및 신뢰되지 않는 실행 파일 차단
- 탐지 및 차단 강화
- 결론
- Bookworm 악성코드는 DLL 사이드로딩과 우회 기법을 통해 여전히 심각한 위협을 제공
- 특히 정부 및 공공기관 대상으로 지속적인 사이버 스파이 활동 수행 중
- 조직은 프로세스 모니터링 강화, 탐지 규칙 업데이트, 사용자 교육 등을 통해 방어 체계 강화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Google 광고를 통한 SecTopRAT 악성코드 유포 캠페인 (0) | 2025.02.24 |
|---|---|
| 가짜 브라우저 업데이트를 통한 NetSupport RAT 및 StealC 악성코드 유포 (0) | 2025.02.24 |
| Rhadamanthys Infostealer, Microsoft Management Console 이용한 악성코드 유포 (0) | 2025.02.24 |
| 새로운 Snake Keylogger 변종, AutoIt 스크립트 활용해 탐지 회피 (0) | 2025.02.24 |
| Eclipse Jarsigner를 악용한 XLoader 악성코드 유포 캠페인 분석 (0) | 2025.02.24 |