Silver Fox APT Uses Winos 4.0 Malware in Cyber Attacks Against Taiwanese Organizations
- 공격 개요
- APT 그룹 Silver Fox(다른 명칭: Void Arachne), 대만 기업 대상 피싱 캠페인 수행
- 악성코드 Winos 4.0 활용, 공식 기관을 사칭한 피싱 이메일 전송
- 대상: 대만 국세국(National Taxation Bureau)으로 위장하여 세무조사 관련 문서로 유인
- 공격 목적: 정보 수집 및 원격 제어
- 공격 기법 및 악성코드 동작 방식
- 피싱 이메일
- 세무조사 대상 기업 목록을 포함한 공식 문서로 위장한 첨부파일 제공
- ZIP 파일 내 악성 DLL 파일(
lastbld2Base.dll) 포함
- Winos 4.0 악성코드 로드 과정
- DLL 실행 시 쉘코드를 로드하여 원격 서버(
206.238.221[.]60)에서 Winos 4.0 모듈 다운로드 - 주요 기능
- 스크린샷 캡처
- 키보드 입력 로깅(키로깅)
- 클립보드 데이터 변경
- USB 장치 모니터링
- 원격 명령 실행(cmd.exe 등)
- 추가 공격 체인: WeChat 및 온라인 뱅킹 서비스 화면 캡처 가능
- DLL 실행 시 쉘코드를 로드하여 원격 서버(
- 피싱 이메일
- Winos 4.0 및 관련 악성코드 분석
- ValleyRAT 및 Gh0st RAT 계열
- Winos 4.0과 ValleyRAT, Gh0st RAT의 변종
- 원격 접속 및 명령 제어 기능 포함
- CleverSoar 인스톨러 및 Nidhogg 루트킷 활용
- MSI 인스톨러를 통해 CleverSoar 실행
- 감염 여부 확인 시 사용자 언어 설정 검사(중국어, 베트남어 대상)
- 탐지 회피를 위해 Nidhogg 루트킷 설치
- ValleyRAT 및 Gh0st RAT 계열
- 추가 공격 벡터 및 최신 공격 사례
- 트로이화된 Philips DICOM 뷰어 활용
- 의료 영상 DICOM 뷰어를 악성코드로 변조하여 배포
- ValleyRAT 및 키로거, 암호화폐 채굴 악성코드 포함
- 취약한 TrueSight 드라이버 악용하여 백신 비활성화
- 트로이화된 Philips DICOM 뷰어 활용
- 보안 권고
- 피싱 이메일 및 의심스러운 파일 다운로드 주의
- 악성코드 탐지 및 제거를 위한 엔드포인트 보안 솔루션(EPP/EDR) 활용
- 루트킷 탐지 및 대응을 위한 커널 보안 모니터링 강화
- 신뢰할 수 없는 소프트웨어 다운로드 및 실행 차단
- 중국어 및 베트남어 사용자 대상 맞춤형 보안 조치 시행
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| VS Code 확장 프로그램, 900만 건 설치 후 악성 코드 포함으로 제거됨 (0) | 2025.03.15 |
|---|---|
| Anubis 랜섬웨어, 다중 운영 환경을 타겟으로 한 신종 위협 (1) | 2025.03.15 |
| Bybit 해킹, 북한 해커 그룹 라자루스의 공급망 공격으로 확인 (0) | 2025.03.15 |
| 2025.03.07. IT&보안 기사 (0) | 2025.03.15 |
| 패치되지 않은 취약점과 제한된 EDR 가시성이 사이버 범죄 유인 (0) | 2025.03.15 |