Kant's IT/Issue on IT&Security

오이스터 백도어 공격: MS 팀즈 설치 파일로 위장한 해킹 기법

Kant Jo 2024. 10. 2. 15:42

오이스터 백도어, MS 팀즈 설치파일로 위장해 감염된 PC 정보 수집·전송

 

오이스터 백도어, MS 팀즈 설치파일로 위장해 감염된 PC 정보 수집·전송

최근 마이크로소프트(Microsoft)의 인스턴트 메신저 겸 인터넷 화상통화 서비스인 팀즈(Teams) 설치 프로그램으로 위장해 유포되는 ‘오이스터(Oyster)’ 백도어가 발견됐다. 공격자는 파일 아이콘과

www.boannews.com

 

  • 공격 개요
    • 마이크로소프트 팀즈 설치 파일로 위장한 오이스터(Oyster) 백도어가 발견됨
    • 공격자는 정상 설치 파일처럼 보이도록 파일 아이콘과 이름을 위장하여 사용자를 속임
    • 다운로드와 실행을 유도해 악성코드를 설치
  • 악성 동작
    • 악성코드는 CleanUp30.dllMSTeamsSetup_c_l.exe 파일을 %temp% 경로에 드롭
    • CleanUp30.dll은 백도어 역할을 수행하며, rundll32.exe로 호출됨
    • MSTeamsSetup_c_l.exe는 정상 팀즈 설치 파일로, 악성코드를 숨기기 위한 위장 수단
  • 정보 수집 및 C&C 서버 통신
    • 감염된 PC에서 사용자 계정 이름, OS 버전, IP 주소 등의 정보를 수집
    • 수집된 정보는 C&C 서버웹 소켓HTTP 통신으로 공격자에게 전송됨
    • 통신에는 Boost.Beast 라이브러리가 사용됨
  • 지속성 확보
    • 작업 스케줄러에 ClearMngs 작업을 추가하여 3시간마다 자동 실행되도록 설정
    • 이 과정을 통해 백도어의 지속적인 활동을 보장
  • 대응 방안
    • 비공식 사이트에서 소프트웨어 다운로드를 피하고 공식 홈페이지에서만 다운로드할 것
    • 백신 프로그램운영체제를 항상 최신 상태로 유지
    • 정상 소프트웨어로 위장한 악성코드가 증가하고 있어 사용자는 주의가 필요
저작자표시 비영리 변경금지