제퍼넷 로고

생성 데이터 인텔리전스

사이버 보안

Solar Spider, 새로운 악성코드를 통해 사우디아라비아 은행을 표적으로 삼다

플라톤에 의해 재발행
플라톤에 의해 재발행

시간

조회 수 : 72

JSOutProx로 알려진 복잡한 JavaScript 원격 액세스 트로이 목마(RAT) 뒤에 있는 정교한 위협 그룹이 중동의 조직을 표적으로 삼는 새로운 버전의 악성 코드를 출시했습니다.

사이버 보안 서비스 회사인 Resecurity는 금융 고객을 표적으로 삼고 기업을 표적으로 삼을 경우 가짜 SWIFT 결제 알림을 전달하거나 개인 시민을 표적으로 삼을 때 MoneyGram 템플릿을 전달하는 JSOutProx 악성 코드와 관련된 여러 사건의 기술적 세부 사항을 분석했다고 이번 주에 발표된 보고서에서 밝혔습니다. 위협 그룹은 인도와 대만의 정부 기관은 물론 필리핀, 라오스, 싱가포르, 말레이시아, 인도의 금융 기관을 표적으로 삼았습니다. 사우디 아라비아.

JSOutProx의 최신 버전은 개발 관점에서 볼 때 매우 유연하고 잘 구성된 프로그램이므로 공격자가 피해자의 특정 환경에 맞게 기능을 조정할 수 있다고 Resecurity의 CEO인 Gene Yu가 말했습니다.

“이것은 여러 단계로 구성된 악성 코드 이식이며 여러 플러그인을 포함하고 있습니다.”라고 그는 말합니다. "피해자의 환경에 따라, 어떤 플러그인이 활성화되어 있는지에 따라 곧바로 들어가 피를 흘리거나 환경을 오염시킵니다."

이번 공격은 JSOutProx 악성 코드를 사용하는 유일한 그룹인 Solar Spider로 알려진 사이버 범죄 그룹의 최신 캠페인입니다. 그룹의 목표를 기준으로 합니다. 일반적으로 인도의 조직뿐만 아니라 아시아 태평양, 아프리카 및 기타 지역의 조직도 포함됩니다. 중동 지역 — 중국과 관련이 있을 가능성이 높습니다. 분석에 명시된 보안.

유씨는 “대상과 인프라에서 얻은 일부 세부 정보를 분석한 결과 중국과 관련이 있는 것으로 의심됩니다.”라고 말했습니다.

“매우 난독화된… 모듈식 플러그인”

JSOutProx는 금융업계에서 잘 알려져 있습니다. 예를 들어 Visa는 아시아 태평양 지역의 여러 은행을 겨냥한 캠페인을 포함하여 2023년 공격 도구를 사용한 캠페인을 문서화했습니다. 12월에 발표된 반기별 위협 보고서.

RAT(원격 액세스 트로이 목마)는 모듈식 플러그인 기능을 갖추고 셸 명령을 실행하고, 파일을 다운로드, 업로드 및 실행하고, 파일 시스템을 조작하고, 지속성을 설정하고, 스크린샷을 찍고, 키보드와 마우스를 조작할 수 있는 고도로 난독화된 JavaScript 백도어입니다. Visa는 보고서에서 이렇게 밝혔습니다. “이러한 고유한 기능을 통해 악성 코드는 보안 시스템의 탐지를 회피하고 표적 금융 기관으로부터 다양한 민감한 결제 및 금융 정보를 얻을 수 있습니다.

JSOutProx는 일반적으로 zip 아카이브에 금융 문서의 PDF 파일로 표시됩니다. 하지만 실제로 피해자가 파일을 열 때 실행되는 것은 JavaScript입니다. 공격의 첫 번째 단계는 시스템에 대한 정보를 수집하고 동적 DNS를 통해 난독화된 명령 및 제어 서버와 통신합니다. 공격의 두 번째 단계에서는 약 14개의 플러그인 중 하나를 다운로드하여 Outlook 및 사용자 연락처 목록에 대한 액세스 권한을 얻고 시스템에서 프록시를 활성화 또는 비활성화하는 등 추가 공격을 수행합니다.

RAT는 합법적인 것처럼 보이기 위해 GitHub(최근에는 GitLab)에서 플러그인을 다운로드합니다.

Resecurity는 분석에서 “JSOutProx의 새 버전 발견과 GitHub 및 GitLab과 같은 플랫폼의 활용은 이러한 악의적인 행위자의 끊임없는 노력과 정교한 일관성을 강조합니다.”라고 말했습니다.

중동 금융 데이터로 수익 창출

Visa의 위협 보고서에 따르면 Solar Spider가 사용자를 손상시키면 공격자는 기본 계정 번호 및 사용자 자격 증명과 같은 정보를 수집한 다음 피해자를 대상으로 다양한 악의적인 작업을 수행합니다.

Visa 보고서는 “JSOutProx 악성 코드는 전 세계 금융 기관, 특히 AP 지역 금융 기관에 심각한 위협이 됩니다. 이러한 악성 코드의 표적이 되는 경우가 더 많기 때문입니다.”라고 밝혔습니다.

Visa는 기업이 악성 코드의 위협을 완화하기 위해 원치 않는 의심스러운 서신을 처리하는 방법에 대해 직원을 교육해야 한다고 말했습니다. 또한 재감염을 방지하려면 악성 코드의 모든 인스턴스를 조사하고 완전히 치료해야 합니다.

Resecurity의 유씨는 Solar Spider가 가장 성공적인 기업을 노리고 있기 때문에 대규모 기업과 정부 기관이 이 그룹의 공격을 받을 가능성이 더 높다고 말했습니다. 그러나 대부분의 경우 기업은 위협 관련 조치를 취할 필요가 없으며 대신 심층 방어 전략에 집중해야 한다고 그는 말합니다.

“사용자는 중국인이 공격하는 것처럼 하늘에 빛나는 물체를 보는 데 집중해야 하지만, 그들이 해야 할 일은 더 나은 기반을 만드는 것입니다.”라고 유씨는 말합니다. “훌륭한 패치, 네트워크 세분화 및 취약점 관리 기능을 갖추고 있습니다. 그렇게 하면 이 중 어느 것도 사용자에게 영향을 미치지 않을 것입니다.

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.