OBSCURE#BAT Malware Uses Fake CAPTCHA Pages to Deploy Rootkit r77 and Evade Detection
- 공격 개요
- OBSCURE#BAT는 다단계 PowerShell 기반 감염 과정을 통해 r77 루트킷을 배포하는 악성코드 캠페인
- 사용자를 속여
.bat스크립트를 실행하도록 유도하며, 미국, 캐나다, 영국, 독일 등 영어권 사용자 중심으로 확산 - 루트킷은 특정 접두사로 시작하는 파일, 레지스트리 키, 프로세스를 숨기는 기능을 갖춤
- 초기 침투 및 전파 방식
- ClickFix 기법을 활용해 Cloudflare CAPTCHA로 위장한 페이지에서 사용자 상호작용 유도
- 또는 Tor 브라우저, VoIP 도구, 메신저 소프트웨어 등 정상 프로그램으로 위장해 악성 배치 스크립트 유포
- SEO poisoning, malvertising 등 검색 기반 유입 기법 사용 추정
- 감염 과정
- 압축파일 형태로 배포된
.bat파일 실행 시 PowerShell 명령어를 통해 다음 단계 진행- 레지스트리에 난독화된 스크립트 저장 및 예약 작업(Scheduled Tasks) 등록
- 가짜 드라이버(ACPIx86.sys) 등록을 통해 시스템에 깊이 내재화
- .NET 기반 페이로드 실행 시
- 흐름 제어 난독화, 문자열 암호화, 특수 문자 조합 함수명을 사용해 탐지 회피
- AMSI(Antimalware Scan Interface) 패치를 적용해 안티바이러스 탐지 우회
- 압축파일 형태로 배포된
- 루트킷 r77 및 주요 기능
- 시스템 모드 루트킷(ACPIx86.sys): 드라이버로 등록되어 프로세스에 깊숙이 은폐
- 사용자 모드 루트킷(r77): 접두어($nya-)가 포함된 항목을 시스템에서 은폐
- 클립보드 활동과 명령 기록 주기적 모니터링 및 은닉 파일로 저장 → 정보 탈취 가능성
- 은폐 및 지속성 확보 기법
- winlogon.exe 등 주요 시스템 프로세스에 주입하여 행위 은폐
- 시스템 재부팅 후에도 유지되는 예약 작업, 레지스트리 기반 스크립트 실행
- API hooking, 서비스 등록 등을 통해 탐지 회피 및 장기적 은폐 달성
- 결론
- OBSCURE#BAT는 ClickFix, 루트킷 이중 구조, AMSI 우회, 레지스트리 은닉 등 고도화된 지속성 및 은폐 전략을 보유한 위협
- 일반 사용자 대상 소셜엔지니어링 기법과 결합하여 탐지 및 방어 우회에 성공
- 보안팀은 배치 스크립트 실행 감시, 예약 작업 이상 탐지, 드라이버 등록 변경 모니터링 등으로 대응 강화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 불법 소프트웨어 사용자를 노린 MassJacker 클리퍼 악성코드 유포 캠페인 분석 (0) | 2025.04.20 |
|---|---|
| 이스라엘 국적 LockBit 개발자 Rostislav Panev, 미국으로 범죄인 인도 (0) | 2025.04.20 |
| Storm-1865 위협 행위자의 Booking.com 사칭 피싱 캠페인 분석 (0) | 2025.04.20 |
| DeepSeek R1의 탈옥 악용 사례와 악성코드 생성 위험 (0) | 2025.04.20 |
| PyPI 악성 패키지 통한 클라우드 토큰 탈취 캠페인 분석 (1) | 2025.04.20 |