본 포스트는 The Hacker News의 [DarkGate Malware Exploits Samba File Shares in Short-Lived Campaign] 기사와 LOGPOINT에서 Anish Bogati이 작성한 [Inside DarkGate: Exploring the infection chain and capabilities] 포스트를 보고 이를 바탕으로 작성하였습니다.
https://thehackernews.com/2024/07/darkgate-malware-exploits-samba-file.html
DarkGate Malware Exploits Samba File Shares in Short-Lived Campaign
DarkGate malware uses Samba file shares in a short-lived campaign targeting North America, Europe, and Asia.
thehackernews.com
https://www.logpoint.com/en/blog/inside-darkgate/#DarkGate_infection_chain
Inside DarkGate: Exploring the infection chain and capabilities
Uncover the inner workings of DarkGate malware. Learn how this RAT & loader steals data & deploys crypto miners.
www.logpoint.com
DarkGate란?
2018년에 처음 등장하였으며, 현재는 엄격하게 통제된 수의 고객이 사용하는 MaaS(Malware-as-a-Service) 오퍼링으로 발전한 시스템이다. DarkGate는 다양한 맬웨어 방지 프로그램을 스캔하고 CPU 정보를 확인하여 물리적 호스트 또는 가상 환경에서 실행 중인지 확인하여 분석을 방해할 수 있으며, 호스트의 실행 프로세스를 검사하여 리버스 엔지니어링 도구, 디버거 또는 가상화 소프트웨어의 존재를 결정한다.
주요 기능
DarkGate Malware는 2024년 3월과 4월에 걸쳐 Samba 파일 공유를 통해 PC 및 서버 감염을 일으켰다. 감염 체인은 비주얼 베이직 스크립트(VBS)와 자바스크립트 파일을 호스팅하는 공개 삼바 파일 공유를 실행하는 서버를 사용하였다.
- 공격 타겟 국가 : 북미, 유럽, 그리고 아시아의 일부
공격 방법
1. 피싱
공격자는 전략적으로 피싱 URL을 사용하여 사용자를 트래픽 분배 시스템(TDS)으로 리디렉션하여 악성 페이로드를 다운로드한다. 그리고 나서 피해자들에게 인터넷 단축키가 제시되었고(. URL), 이 과정을 통해 파일을 클릭하고 클릭하면 압축된 VBS 스크립트가 다운로드되었다.
2. 악성광고
온라인 광고를 통해 맬웨어를 배포하기 위해 적들이 사용하는 기술이다. 합법적인 웹사이트에 나타나는 이러한 기만적인 광고는 브라우저 취약점을 악용하거나, 사용자를 악의적인 사이트로 이끌거나 상호 작용 시 맬웨어 다운로드를 시작한다. 공격자들은 원격 관리 도구와 관련된 주제를 사용했으며, 특히 IT 관리자들 사이에서 널리 사용되는 도구인 고급 IP 스캐너의 모습을 활용했다. 피해자들이 악의적인 광고와 상호 작용할 때, 공격자가 사용하는 기만적인 전술의 일환으로 미끼 사이트로 이동된다.
'정보 보안 > 보안 동향' 카테고리의 다른 글
| 누구나 쉽게 공격가능한 피싱킷, FishXProxy (0) | 2024.07.13 |
|---|---|
| 과학기술정보통신부의 보이스피싱 대응 전략 (0) | 2024.07.13 |
| 최근 사이버 공격 5가지 (0) | 2024.06.30 |
| 크리덴셜 스터핑 공격 (0) | 2024.06.30 |
| 국내 기업을 상대로 진행된 서버 공격 - SoftEther VPN (0) | 2024.06.17 |
