Desert Dexter Targets 900 Victims Using Facebook Ads and Telegram Malware Links
- 개요 및 공격 개시 배경
- 위협 행위자 Desert Dexter는 2024년 9월부터 북아프리카 및 중동 지역을 대상으로 악성코드 캠페인을 전개
- Facebook 광고와 텔레그램 채널을 통해 악성 RAR 파일 유포, 피해자는 약 900명에 달함
- 지역적 지정학적 갈등을 활용해 관심을 끌고, 다운로드를 유도하는 심리적 사회공학 기법 활용
- 공격 벡터 및 감염 흐름
- Facebook 광고에 링크된 파일 공유 서비스 혹은 텔레그램 채널을 통해 RAR 압축 파일 전달
- RAR 파일 내에는 BAT 스크립트 혹은 JavaScript 파일이 포함되며, PowerShell 스크립트를 실행하여 2차 단계 악성 행위 개시
- .NET 기반 보안 서비스 종료
C:\ProgramData\WindowsHost및C:\Users\Public경로 내 특정 파일 삭제 및 악성 스크립트 생성- 시스템 내 영구적 존재(persistence) 확보
- 정보 수집 후 텔레그램 봇으로 전송
- aspnet_compiler.exe에 AsyncRAT 인젝션 수행
- AsyncRAT 변종의 기능
- 오프라인 키로깅 기능 내장
- 16개 이상의 암호화폐 지갑 확장 프로그램 및 애플리케이션 검색
- 텔레그램 봇과 지속적인 통신
- 스크린샷 캡처 및 시스템 정보 수집
- 관련 정황 및 위협 행위자 분석
- JavaScript 내 아랍어 주석 및 공격자 데스크톱 캡처 파일명(DexterMSI)로 보아, 리비아계 공격자로 추정
- 사용된 악성도구 중 Luminosity Link RAT도 포함되어 있음
- 텔레그램 채널명 dexterlyly는 2019년 'Operation Tripoli'에서 등장한 'Dexter Ly'와 연관성 시사
- 당시 캠페인에서는 Houdini, Remcos, SpyNote 등이 활용됨
- 현재 동일 인물 혹은 조직인지는 확인되지 않음
- 주요 피해 대상 및 산업
- 피해자는 일반 사용자 및 다음과 같은 산업 종사자 포함
- 석유 생산
- 건설
- 정보기술
- 농업
- 일반 사용자의 자산 탈취, 정보 수집, 암호화폐 탈취를 주요 목적으로 추정
- 피해자는 일반 사용자 및 다음과 같은 산업 종사자 포함
- 결론
- 고급 기술을 사용하지는 않았으나, SNS 플랫폼과 정상적인 파일 공유 서비스를 악용한 사회공학 기반 저숙련 캠페인
- Facebook 등 플랫폼에서 다운로드 유도 시 각별한 주의 필요
- 텔레그램 등 메신저 내 파일 실행 자제, 의심 파일 실행 전 샌드박스 분석 권장
- 조직은 Facebook 광고 모니터링 체계 구축, 텔레그램 봇 통신 탐지 룰 적용 필요
- PowerShell 및 스크립트 기반 로드 행위 탐지를 위한 EDR 기반 룰 정교화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Chromecast 초기화 경고에 대한 구글의 공식 권고 (0) | 2025.04.13 |
|---|---|
| Word for Microsoft 365 기능 치트시트 (2025년 3월 기준) (0) | 2025.04.13 |
| 보안 스택의 근본적 문제, 허약한 기반 위의 계층적 구조 (0) | 2025.04.13 |
| 2025년 3월 2주차 사이버 보안 주요 이슈 요약 (1) | 2025.04.13 |
| Google Workspace 보안을 위한 통합 보안 전략의 필요성 (0) | 2025.04.13 |