매사추세츠 주 워번 – 19년 2023월 XNUMX일 – 오늘 카스퍼 스키 연구원 신고 악명 높은 Roaming Mantis 캠페인에 사용된 새로운 도메인 이름 시스템(DNS) 체인저 기능. 사이버 범죄자들은 ​​손상된 공용 Wi-Fi 라우터를 사용하여 캠페인의 Wroba.o 맬웨어로 더 많은 Android 스마트폰을 감염시키려고 시도할 수 있음을 보여주었습니다. 공격자들은 한국의 사용자를 대상으로 이 새로운 기술을 사용했지만 곧 다른 국가에서도 구현될 수 있습니다. 

Roaming Mantis(일명 Shaoye)는 2018년 Kaspersky가 처음으로 관찰한 사이버 범죄 캠페인입니다. 악성 Android 패키지(APK) 파일을 사용하여 감염된 Android 기기를 제어하고 기기 정보를 훔칩니다. 또한 iOS 기기용 피싱 옵션과 PC용 크립토마이닝 기능도 있습니다. 이 캠페인의 이름은 Wi-Fi 네트워크 사이를 로밍하는 스마트폰을 통해 전파되어 잠재적으로 감염을 옮기고 퍼뜨린다는 점에서 유래되었습니다.

공용 라우터를 통해 더 많은 사용자를 공격하는 새로운 DNS 체인저 기능

Kaspersky는 Roaming Mantis가 최근 Wroba.o(일명 Agent.eq, Moqhao, XLoader)에 도메인 이름 시스템(DNS) 체인저 기능을 도입했다는 사실을 발견했습니다. 이 악성코드는 이 캠페인에서 주로 사용되었습니다. DNS 체인저는 손상된 Wi-Fi 라우터에 연결된 장치를 합법적인 DNS 서버 대신 사이버 범죄자가 통제하는 서버로 보내는 악성 프로그램입니다. 악의적인 랜딩 페이지에서 잠재적 피해자는 장치를 제어하거나 자격 증명을 훔칠 수 있는 맬웨어를 다운로드하라는 메시지를 표시합니다.

현재 Roaming Mantis의 배후 공격자는 한국에 위치한 매우 유명한 한국 네트워크 장비 공급업체에서 제조한 라우터를 독점적으로 표적으로 삼고 있습니다. 이를 식별하기 위해 새로운 DNS 체인저 기능은 라우터의 IP 주소를 가져오고 라우터의 모델을 확인하여 DNS 설정을 덮어써 대상 모델을 손상시킵니다. 2022년 508월 Kaspersky는 해당 국가에서 1개의 악성 APK 다운로드를 관찰했습니다(표 XNUMX 참조). 

악성 랜딩 페이지를 조사한 결과 공격자들이 DNS 체인저 대신 스미싱을 사용하여 다른 지역도 표적으로 삼고 있는 것으로 나타났습니다. 이 기술은 문자 메시지를 사용하여 피해자를 악의적인 사이트로 안내하는 악성 링크를 유포하여 장치에 맬웨어를 다운로드하거나 피싱 웹 사이트를 통해 사용자 정보를 훔칩니다. 일본은 사이버 범죄자가 생성한 랜딩에서 거의 25,000건의 악성 APK 다운로드로 표적 국가 목록에서 7,000위를 차지했습니다. 오스트리아와 프랑스는 각각 약 XNUMX건의 다운로드를 기록했습니다. 독일, 터키, 말레이시아, 인도가 목록을 마무리했습니다. Kaspersky 연구원은 가해자가 곧 해당 지역의 Wi-Fi 라우터를 대상으로 DNS 체인저 기능을 업데이트할 수 있다고 예측합니다. 

표 1. 2022년 XNUMX월 상반기 Roaming Mantis 캠페인 내에서 생성된 악성 랜딩 페이지 조사를 기반으로 한 국가별 악성 APK 다운로드 수

2022년 54.4월~12.1월 Kaspersky Security Network(KSN) 통계에 따르면 Wroba.o 맬웨어(Trojan-Dropper.AndroidOS.Wroba.o)의 가장 높은 탐지율은 프랑스(10.1%), 일본(XNUMX%), 미국(XNUMX%). 

"감염된 스마트폰이 카페, 바, 도서관, 호텔, 쇼핑몰, 공항 또는 가정과 같은 다양한 공공 장소에서 '정상적인' 라우터에 연결되면 Wroba.o 맬웨어가 이러한 라우터를 손상시키고 연결된 다른 장치에도 영향을 미칠 수 있습니다." Kaspersky의 선임 보안 연구원인 Suguru Ishimaru는 말했습니다. “새로운 DNS 체인저 기능은 악성 호스트로 리디렉션 및 보안 제품 업데이트 비활성화와 같이 손상된 Wi-Fi 라우터를 사용하여 모든 장치 통신을 관리할 수 있습니다. 우리는 이 발견이 대상 지역에 널리 퍼질 수 있기 때문에 Android 기기의 사이버 보안에 매우 중요하다고 생각합니다.” 

새로 구현된 DNS 체인저 기능에 대한 전체 보고서를 읽으려면 다음을 방문하십시오. 시큐어리스트닷컴.

이 감염으로부터 인터넷 연결을 보호하기 위해 Kaspersky 연구원은 다음을 권장합니다.

• 라우터의 사용 설명서를 참조하여 DNS 설정이 변경되지 않았는지 확인하거나 ISP에 지원을 요청하십시오.

• 라우터의 관리 웹 인터페이스에 대한 기본 로그인 및 비밀번호를 변경하고 공식 소스에서 라우터의 펌웨어를 정기적으로 업데이트하십시오.

• 타사 소스에서 라우터 펌웨어를 설치하지 마십시오. Android 기기에 타사 리포지토리를 사용하지 마십시오.

• 또한 항상 브라우저 및 웹사이트 주소를 확인하여 합법적인지 확인하십시오. 데이터를 입력하라는 메시지가 표시되면 https와 같은 기호를 찾습니다.

• 다음과 같은 모바일 보안 솔루션 설치를 고려하십시오. 카스퍼 스키, 이러한 위협 및 기타 위협으로부터 장치를 보호합니다.

카스퍼스키 정보

Kaspersky는 1997년에 설립된 글로벌 사이버 보안 및 디지털 개인 정보 보호 회사입니다. Kaspersky의 심층적인 위협 인텔리전스 및 보안 전문 지식은 전 세계 기업, 중요 인프라, 정부 및 소비자를 보호하기 위한 혁신적인 보안 솔루션 및 서비스로 끊임없이 변화하고 있습니다. 이 회사의 포괄적인 보안 포트폴리오에는 선도적인 엔드포인트 보호와 정교하고 진화하는 디지털 위협에 대처하기 위한 다양한 전문 보안 솔루션 및 서비스가 포함됩니다. 400억 명 이상의 사용자가 Kaspersky 기술로 보호되고 있으며 240,000명의 기업 고객이 가장 중요한 것을 보호할 수 있도록 지원합니다. 자세한 내용은 usa.kaspersky.com.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/remote-workforce/roaming-mantis-uses-dns-changers-to-target-users-via-compromised-public-routers