Winos4.0 Malware Targets Windows Users Through Malicious PDF Files
Winos4.0 Malware Targets Windows Users Through Malicious PDF Files
A new wave of cyberattacks leveraging the Winos4.0 malware framework has targeted organizations in Taiwan through malicious PDF attachments.
gbhackers.com
- 공격 개요
- Winos4.0 악성코드 프레임워크를 이용한 새로운 사이버 공격이 대만 기관 및 기업을 대상으로 진행됨
- 공격자는 세금 조사 알림을 위장한 악성 PDF 첨부 파일을 이용한 피싱 공격 수행
- 다단계 페이로드 전달, 분석 회피 기법, 자동화된 보안 우회 기법을 활용해 피해자의 네트워크에 지속적인 접근 권한 확보
- 피싱 공격 수법
- 대만 국세청(National Taxation Bureau)을 사칭한 피싱 이메일 사용
- 세금 감사 대상 기업 목록을 포함한 PDF 문서로 위장
- PDF 내부에 악성 ZIP 압축 파일 포함 → "20250109.exe" 실행을 유도
- 2024년 11월 Winos4.0이 게임 애플리케이션을 이용하여 유포된 사례와는 다른 전략적 변화
- 회계연도 마감 시점을 이용한 타겟팅
- 기업의 재무팀 및 회계를 담당하는 인원을 주요 대상으로 설정
- 특정 기업의 재무 담당자의 이름을 이메일에 직접 명시하여 클릭률 증가
- 악성코드 실행 및 분석 회피 기법
- 실행 후 3단계 악성코드 실행 방식
- 1단계: 가짜 애플리케이션 실행 → "ApowerREC.exe"(악성 로더) 실행
- 2단계: DLL 로드 → "lastbld2Base.dll"을 불러와 C2 서버 정보 및 추가 플러그인 설정 해독
- C2 서버: 9010[.]360sdgg[.]com
- 3단계: 분석 회피 및 은닉 기능 활성화
- 샌드박스 탐지 기법 적용
- 스크린샷 차이를 비교하여 자동 분석 시스템인지 판별
- 20,000픽셀 이상의 변화가 감지될 때까지 실행 중지 (최대 1시간 대기)
- 레지스트리 기반 페이로드 저장
- 암호화된 악성코드를 HKEY_CURRENT_USER\B118D5E900008F7A에 저장
- 추가적으로 API 호출을 해독하여 최종 페이로드 실행
- 샌드박스 탐지 기법 적용
- 실행 후 3단계 악성코드 실행 방식
- 주요 악성 행위
- 메인 스레드(MainThread)
- 스크린세이버 비활성화 (SPI_SETSCREENSAVEACTIVE)
- 시스템 절전 모드 차단 (ES_AWAYMODE_REQUIRED)
- UAC(사용자 계정 컨트롤) 정책 변경
- 레지스트리 수정(HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System)
- 안티 바이러스 회피
- 360Safe, Kingsoft, Huorong 등 중국 보안 솔루션 탐지 회피
- GetTcpTable2 API 후킹을 이용하여 특정 보안 프로세스 종료
- 클립보드 하이재킹
- 재무 관련 키워드를 포함한 데이터 수정
- 레지스트리(HKEY_CURRENT_USER\B118D5E900008F7A\clipboarddata) 기반 저장
- 로그 및 증거 은폐
- 글로벌 뮤텍스(Global\MainThreadB118D5E900008F7A) 생성 → 중복 감염 방지
- 키 입력 로깅 후 C:\ProgramData\B118D5E900008F7A\Regedit.log에 저장
- 메인 스레드(MainThread)
- 공격 배후 및 지리적 영향 분석
- 대만 금융 시스템을 타겟으로 한 공격
- USB 로그 분석 결과 간체 중국어 메시지 포함
- "USB 장치 삽입/제거" 로그 존재 → 중국 기반 공격자 가능성 제기
- 이전 게임 악성코드 유포 인프라와 중복되는 도메인 발견
- 과거 해킹 그룹이 동일 인프라를 재사용할 가능성 있음
- 보안 권고
- 악성 PDF 탐지를 위한 이메일 보안 조치
- 콘텐츠 무력화 및 재구성(Content Disarm & Reconstruction, CDR) 적용
- UAC 우회 탐지를 위한 레지스트리 모니터링
- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System 변경 감시
- 행위 기반 탐지 도구 활용
- 이상적인 스크린샷 캡처 빈도 탐지 및 모니터링
- 비정상적인 시스템 깨우기 이벤트(Wake event) 감지
- Winos4.0 관련 탐지 및 차단 조치
- Fortinet의 최신 보안 업데이트를 적용하여 Winos4.0 탐지 가능
- 탐지된 위협 시그니처
- W32/Agent.7BBA!tr
- W64/ValleyRat.A!tr.spy
- C2 서버 차단: 9010[.]360sdgg[.]com 및 관련 인프라 차단
- 사이버 보안 교육 강화
- NSE 보안 교육 모듈 활용하여 피싱 이메일 식별 훈련
- 애플리케이션 허용 목록(Application Allowlisting) 적용
- 신뢰할 수 있는 실행 파일만 실행 가능하도록 정책 설정
- 다중 계층 보안 적용
- 엔드포인트 탐지 및 대응(EDR) 솔루션 도입
- 네트워크 트래픽 분석(NTA)과 보안 정보 및 이벤트 관리(SIEM) 연계 강화
- 악성 PDF 탐지를 위한 이메일 보안 조치
- 결론
- Winos4.0 악성코드는 PDF 피싱, 정교한 보안 회피 기법, 레지스트리 기반 은닉 기술을 결합하여 장기간 탐지되지 않도록 설계됨
- 기업 및 기관은 이메일 보안 강화, 레지스트리 변경 모니터링, EDR 솔루션 적용 등의 다층 방어 전략을 수립해야 함
- APT(지능형 지속 위협) 그룹과의 연관성이 의심되므로 국가 및 기업 차원의 방어 강화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| C++ 메모리 안전성 논란과 방어 전략 (0) | 2025.03.23 |
|---|---|
| 스마트 태양광 시스템 해킹 위험과 국가 전력망 위협 (0) | 2025.03.23 |
| THN 주간 요약, 제로데이 취약점, AI 보안 사고 및 암호화폐 탈취 (0) | 2025.03.23 |
| Qilin 랜섬웨어 그룹, Lee Enterprises 사이버 공격 주장 (0) | 2025.03.23 |
| AWS 설정 오류를 악용한 해커의 SES 및 WorkMail 기반 피싱 공격 (0) | 2025.03.23 |