Researchers Uncover FIN7's Stealthy Python-Based Anubis Backdoor
Researchers Uncover FIN7's Stealthy Python-Based Anubis Backdoor
Researchers have recently discovered a sophisticated Python-based backdoor, known as the Anubis Backdoor.
gbhackers.com
- 위협 행위자 개요
- FIN7은 2015년부터 활동해 온 국제 사이버범죄 조직
- 금융, 호텔, 소매 업계를 주 타깃으로 삼으며 수십억 달러 규모 피해 유발
- 최신 공격에서 Python 기반 백도어 'Anubis'를 활용해 침투
- 감염 벡터 및 은폐 기법
- 초기 침투 경로: 피싱 이메일 첨부 ZIP 파일
- ZIP 파일 내부에는 복수의 Python 파일이 포함되어 있으며, conf.py가 주요 실행 스크립트
conf.py는 다단계 악성코드 로딩 구조- AES-CBC 암호화, SHA-256 해싱, Base64 인코딩을 활용해 페이로드 은폐
- 디스크 흔적 최소화를 위해 임시 파일 생성 → 실행 후 즉시 삭제
- 공격자는 사회공학 기반 유포를 지속 활용하며, 악성 코드 탐지 회피에 집중
- 초기 침투 경로: 피싱 이메일 첨부 ZIP 파일
- 핵심 기능 및 지속성 유지 메커니즘
- HTTP 통신 (포트 80/443)을 통한 C2 서버와의 연결
- Windows Registry에 암호화된 서버 목록 저장 (지속성 유지)
- AES-CBC 사용, 키는 에이전트 ID + 컴퓨터명 조합으로 생성해 고유화
- Python
subprocess모듈을 활용한 원격 명령 실행 - 공격자는 파일 업로드 기능을 통해 추가 악성 모듈 및 도구 주입 가능
- 각 감염 인스턴스는 환경별로 다르게 구성되어 역공학 및 탐지 회피
- 보안 영향 및 전술 진화 분석
- Anubis 백도어는 Windows 환경 전역에서 은밀한 원격 접근을 제공
- FIN7은 정상 트래픽에 은폐되는 커스텀 통신 채널을 구축
- 다계층 암호화 + 모듈화된 명령 구조로 파일 탈취, C2 제어, 셸 획득 등 전면 침투 가능
- 분석 방해 조치 및 환경 기반 암호화로 보안 제품 탐지 회피 능력 강화
- 지속적인 백도어 기능 확장으로 APT 수준 정교함 보유
- 보안권고
- 피싱 메일 기반 악성 ZIP 파일 탐지 강화 및 사용자 보안 인식 제고 필요
- 레지스트리 기반 C2 설정 변경 탐지를 위한 SIEM 기반 탐지 룰 강화
- Python 실행 로직 모니터링 및 subprocess 행위 기반 탐지 적용
- 감염지 별도 식별 키 기반 암호화 여부를 분석하여 침해지표(IoC) 고도화
- EDR 솔루션을 활용한 임시파일 생성-삭제, 외부 통신, 암호화 패턴 탐지 연계
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 2025년 기업이 간과한 10대 네트워크 침투 테스트 결과 정리 (0) | 2025.05.05 |
|---|---|
| PowerShell 기반 악성코드 감염 유도용 ‘위조 CAPTCHA’ 공격 기법 확산 (0) | 2025.05.05 |
| Albabat 랜섬웨어 그룹, Windows·Linux·macOS 겨냥한 다중 OS 확장 및 GitHub 기반 자동화 전략 분석 (0) | 2025.05.04 |
| VanHelsing 랜섬웨어, Windows 시스템 겨냥한 은폐 전술 및 이중 갈취 공격 분석 (2) | 2025.05.04 |
| 2025년 네트워크 보안의 핵심 패러다임 7가지 (0) | 2025.05.04 |