제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

COVID-19 미끼 문서, 'BlackWater'악성 코드 확산에 사용되는 Cloudflare 서비스

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 714

연구원들은 COVID-19 팬데믹을 미끼로 사용하고 PaaS(Platform-as-a-Service) 웹 인프라 도구를 악용하여 명령 및 제어 통신을 차단하려는 시도를 분명히 저지하는 새로운 악성코드 캠페인을 발견했습니다.

BlackWater라고 불리는 이 백도어 멀웨어는 콘텐츠 전송 네트워크, DDoS 완화 및 인터넷 보안 서비스를 제공하는 유명한 웹사이트 운영자 제공업체인 Cloudflare가 제공하는 Cloudflare Workers를 특히 활용합니다. Cloudflare가 자체 웹 사이트에서 설명한 것처럼 Cloudflare Workers는 "개발자가 인프라를 구성하거나 유지 관리하지 않고도 기존 애플리케이션을 보강하거나 완전히 새로운 애플리케이션을 만들 수 있는 경량 JavaScript 실행 환경"을 제공합니다.

이러한 JavaScript 프로그램은 서버리스 기능이 최종 사용자와 최대한 가까운 Cloudflare의 에지에서 직접 실행될 수 있도록 하여 원격 웹 클라이언트의 연결과 상호 작용한다고 BleepingComputer는 설명합니다. 신고 BlackWater 위협에 대해 MalwareHunterTeam의 연구를 인용했습니다. 정상적인 조건에서 작업자는 웹사이트의 HTTP 요청 및 응답을 수정하고 병렬 요청을 만들고 Cloudflare 기능을 비활성화하는 데 사용할 수 있습니다. 그러나 악의적인 행위자는 이제 이를 사용하여 C2 서버 또는 최소한 자체적으로 백엔드 C2 서버처럼 작동하는 ReactJS Strapi 앱의 프런트 엔드 역할을 하는 프록시 역할을 합니다. BlackWater는 공격자가 설정한 도메인을 통해 Cloudflare Worker에 연결하는 명령줄을 사용하여 이를 수행합니다.

SC Media는 논평을 위해 Cloudflare에 연락했고 다음과 같은 응답을 받았습니다. "Cloudflare는 우리가 인지하는 즉시 악성 도메인을 종료하기 위해 즉각적인 조치를 취했습니다."

SentinelLabs 연구원 Vitali Kremez는 BleepingComputer에 공격자들이 이 기술을 선택한 이유는 “이는 트래픽을 C2로 전달하는 리버스 프록시 역할을 하는 합법적인 Cloudflare 프록시 IP를 반환하기 때문일 것입니다. 실제 C2를 숨기면서 Cloudflare(Cloudflare 작업자 공간 전체가 금지되지 않는 한) 인프라이기 때문에 IP 트래픽을 차단하는 것이 불가능합니다.”

이 맬웨어는 Word 문서 형식의 신종 코로나바이러스에 대한 정보가 포함된 것으로 보이는 RAR 파일(이메일 피싱 캠페인을 통해 첨부 파일로 배포되었을 가능성이 가장 높음)을 통해 전달됩니다. 그러나 이 파일은 실제로 활성화 시 백도어가 구현되는 동안 주의를 분산시키는 미끼 Word 문서를 추출하는 실행 파일입니다.

MalwareHunterTeam이 관찰한 미끼 문서는 영국의 일반 중등 교육 대기업인 Wessex Learning Trust에서 온 것으로 주장되며 학부모와 학생을 위한 세부 정보와 지침이 포함된 것으로 보입니다.

“이것은 서비스로서의 플랫폼을 사용하여 코드를 작성하는 힘의 좋은 예입니다. 불행하게도 이것은 악의적인 예입니다.” Vectra의 보안 분석 책임자인 Chris Morales가 SC Media에 말했습니다. “CloudFlare는 이와 같은 원격 액세스 코드를 지원하도록 구축되었습니다. 그리고 네, 서비스형 플랫폼에서 실행하면 트래픽이 사이트에서 오는 합법적인 트래픽이기 때문에 전체 클라우드 플랫폼에 대한 액세스를 중단하지 않고는 차단하기 어렵습니다.”

“이는 PaaS 제공업체가 플랫폼이 악의적인 수단으로 사용되지 않도록 할 방법이 여전히 있다는 것을 말해줍니다. 그들은 서비스와 백엔드에서 실행되는 코드에 대해 더 나은 감사를 제공해야 합니다.”라고 Morales는 계속 말했습니다. “재미있게도 Cloudflare 웹사이트는 에지에서 서비스 작업자를 사용하는 보안 이점과 JavaScript의 보안을 지지합니다. 그들이 설명하지 않은 것은 이 코드가 설계된 방식으로 사람들에게 사용되고 있다는 것입니다.”

Thycotic의 수석 보안 과학자이자 자문 CISO인 Joseph Carson은 SC Media에 "합법적인 출처에서 온 것처럼 보이더라도 모든 첨부 파일을 항상 경계하고 의심해야 하는 위기 상황에서 특히 중요합니다"라고 말했습니다.

그는 "이러한 위협의 위험을 줄이는 가장 좋은 방법은 기업이 최소 권한 원칙을 실천하는 것"이라고 덧붙였다.

주제 :

Malware 웹 보안

출처: https://www.scmagazine.com/home/security-news/malware/covid-19-decoy-doc-cloudflare-service-used-to-spread-blackwater-malware/

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.