New Stealthy Malware Leveraging SSH Over TOR Attacking Ukrainian Military
New Stealthy Malware Leveraging SSH Over TOR Attacking Ukrainian Military
Researchers recently discovered a malicious campaign targeting Ukrainian military personnel through fake "Army+" application websites, which
gbhackers.com
- 발견된 악성 캠페인 개요
- “Army+” 가짜 애플리케이션 웹사이트를 통해 우크라이나 군인을 표적으로 하는 악성 캠페인 발견
- 해당 웹사이트에서 악성 설치 프로그램 제공, 실행 시 정상 애플리케이션과 Tor 브라우저를 함께 추출
- 설치 프로그램 동작 방식
- ArmyPlusInstaller는 ArmyPlus.exe라는 미끼 애플리케이션 실행
- 동시에 PowerShell 스크립트(init.ps1) 실행
- PowerShell의 보안 제한을 우회하기 위해 /min 파라미터를 사용하여 콘솔 창 최소화
Get-ExecutionPolicy및Set-ExecutionPolicycmdlets를 활용해 실행 정책 변경 및 권한 획득
- 통신 흐름과 백도어 구성
- Tor 브라우저가 OneDriveData 폴더에 비밀리에 설치 및 실행
- OpenSSH 파일을 ssh 디렉토리에 배치하여 명령 및 제어(C2) 백도어 구축
- Tor의 hostname 파일을 사용해 익명 통신 가능
- RSA 키 쌍 생성, OpenSSH 서버 설정 및 시작 후 시스템 정보, 공개 키, Tor onion 주소를 원격 서버로 전송
- 사회공학적 기법 활용
- 악성 활동을 정상적인 설치 프로그램으로 위장
- 설치 프로그램이 관리자 권한 요청하며 신뢰 구축
- 사용자에게는 오류 메시지를 표시해 진짜 애플리케이션 실행처럼 위장
- init.ps1 PowerShell 스크립트를 사용해 시스템 정보를 ZIP 파일로 압축 후 Tor 네트워크를 통해 공격자 서버로 전송
- 보안 위협 및 대응 방안
- 보안 위협
- PowerShell과 Windows 네이티브 바이너리를 활용하여 감지 회피
- Tor와 SSH를 통한 익명 C2 통신으로 추적 어려움
- 사회공학적 공격으로 사용자 신뢰를 기반으로 악성 활동 수행
- 대응 방안
- PowerShell 실행 정책의 기본 보안을 유지하고, 허가되지 않은 스크립트 실행 방지
- 네트워크 트래픽의 Tor 사용 여부 감지 및 분석
- 관리자 권한 요청이 포함된 소프트웨어 설치 주의
- 백신 및 EDR 솔루션을 사용하여 비정상적인 파일 및 네트워크 활동 탐지
- 보안 위협
- 결론
- 본 악성코드는 Tor와 SSH를 이용해 고도로 은밀한 통신 채널을 구축
- 사회공학적 기법을 활용하여 사용자 신뢰를 기반으로 공격 진행
- PowerShell과 같은 자동화 도구의 보안 설정 강화 및 네트워크 트래픽 분석을 통한 탐지 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 개인정보 가이드라인 및 안내서 전면 정비 (0) | 2025.01.13 |
|---|---|
| 최근 발생한 주요 피싱 및 스미싱 사례 분석 (0) | 2025.01.13 |
| 폭스바겐 정보 노출 사건 분석 (0) | 2025.01.13 |
| 새로운 더블클릭재킹(DoubleClickjacking) 공격, 주요 웹사이트의 클릭재킹 방어 우회 (0) | 2025.01.13 |
| 한예종 해킹 공격 및 개인정보 유출 사고 분석 (0) | 2025.01.13 |