인터넷 검색엔진 삼국열전!!!
6년 전 스탠포드 대학교에 다니던 대학원생 두 명이 머릿속에 떠오른 간단한 아이디어를 실행에 옮겼을 때는, 그 작은 아이디어가 지금처럼 수 십억 달러에 이르 ...

로그인

 ID:
 PW:
 

커뮤니티

 질문과 답

 중고장터

 하드웨어 추천란

 제품 사용기란

 리뷰 오피니언

 행사 게시판

 소비자 보호란

 포토게시판

 향기가 풀풀나는 방

리뷰/프리뷰

 리뷰 / 프리뷰

벤치마크

 벤치마크 / 배틀 랩

 강좌/기술동향

 강좌 / 기술동향

용산핫라인

 용산소식 /판매순위

 龍山三國志

AD INFO CENTER

 인물탐구

 그때 그 시절

 역사속의 컴퓨터계보

 컴퓨터 역사 이야기

NOTICE

신나는 『에코 타악기』 콘서트에 초대합니다!!!.

[알림] 하드웨어랩과 맥스터가 함께하는 영화보기 이벤트2탄 !

[공동구매] 미니베어본 X-VISION

[알림] 2003년 1월 우수회원 선정!!!

[알림] 맥스터 와 함께 하는 영화보기이벤트 선정자 명단 - 수정

 


팔로알토 네트웍스, 신종 멀웨어 드로퍼 캐롯뱃 탐지
 
  • 날짜 : [2018-11-30 04:31:31]

  • - 암호화폐, 거래소 등의 키워드를 담은 멀웨어 드로퍼 ‘캐롯뱃’ 한국 포함 동남아시아 전역 노려
    - 기존 북핵 관련 멀웨어와 동일한 인프라 구조로 다수의 유사성 발견

    팔로알토 네트웍스(Palo Alto Networks)는 오늘 자사의 위협 인텔리전스 연구소 유닛42(Unit42) 발표를 인용해 암호화폐, 암호화폐 거래소, 정치 사건 등의 내용을 담은 멀웨어 드로퍼(dropper) ‘캐롯뱃(CARROTBAT)’에 유의할 것을 발표했다.

    캐롯뱃은 2017년 12월 처음 발견된 공격으로, 당초 영국 정부 기관을 노리고 SYSCON 멀웨어를 사용한 것으로 알려졌다. 영국 고위 공무원들을 대상으로 ‘미, 북과 조건 없는 대화 원한다'는 제목의 이메일을 통해 처음 배포된 SYSCON은 단순 원격 트로이 목마(RAT) 일종으로 네트워크 통신에 FTP를 사용한다. 캐롯뱃 드로퍼가 영국 정부기관 공격에 사용되었던 증거가 발견되지는 않았으나, 유닛42는 두 가지 멀웨어의 공격 인프라 구조가 유사하며, 기타 연결 고리가 존재하는 것으로 분석했다.

    캐롯뱃은 현재까지 총 29개의 고유 샘플이 식별되었으며, 여기에는 확인된 총 12개의 고유 유인(decoy) 문서가 포함되어 있다. 이 샘플들은 올해 3월부터 발견되기 시작했으며, 대부분의 활동은 최근 3개월 내에 이루어졌다. 이전에 SYSCON을 제공한 경우와 같이 페이로드가 다양하며, 새로운 인스턴스는 이전에 보고된 적이 있는 오션솔트(OceanSalt) 멀웨어 제품군을 제공하는 것으로 밝혀졌다. 팔로알토 네트웍스는 캐롯뱃과 관련 페이로드로 구성된 공격 캠페인을 ‘균열된 블록(Fractured Block)’이라고 명명했다.

    현재까지 수집된 모든 캐롯뱃 샘플은 균열된 블록 캠페인 내에 포함된다. 캐롯뱃은 공격자가 내장된 유인(decoy) 파일을 열고, 타깃 머신에서 페이로드를 다운로드 받아 실행시키는 명령을 내리는 드로퍼로, 현재 캐롯뱃에서 지원하는 디코이 문서 파일 형식은 11개이다. (.doc, .docx, .eml, .hwp, .jpg, .pdf, .png,.ppt, .pptx, .xls, xlsx)

    내장된 디코이 문서를 열면 난독화된 명령이 시스템에 실행되며, 이 명령은 Microsoft Windows 기본 제공 인증 유틸리티를 통해 원격 파일을 다운로드하고 실행한다.

    캐롯뱃 멀웨어는 또한 북한 관련 코니(KONNI) 멀웨어와 공통된 인프라를 사용하는 것으로 분석됐다. 최근 4년간 사용되어 온 RAT 멀웨어 코니는 다양한 기능을 보유하고 있으며, 무료 웹 호스팅 공급업체의 인프라를 사용하고 있다. 팔로알토 네트웍스는 2가지 멀웨어 모두 동남 아시아 지역을 타깃으로 하고 있으며, SYSCON 멀웨어 제품군을 반복 사용한다는 점에서 유사성이 발견된다고 밝혔다.

    팔로알토 네트웍스는 캐롯뱃 멀웨어가 독특한 드로퍼 중 하나이며, 다양한 유형의 디코이 문서를 지원하고 기본적인 명령 난독화를 사용하지만 정교하지는 않다고 분석했다. 이 공격을 시도하려는 조직이 여전히 존재하고 있는 것으로 파악되지만, 팔로알토 네트웍스 고객들은 방어 체계를 통해 안전하게 보호된다.




    ST, STM32 마이크로컨트롤러의 무료 개발 ... [2018-12-11 11:08:14]
    쿤텍, 임페라스(Imperas)의 오픈소스 CPU ... [2018-12-11 11:00:36]
    자브라, 세계 최초 비즈니스용 트루 와이어 ... [2018-12-11 10:51:56]
    블록체인 기반 글로벌 뷰티 서비스 중개 플 ... [2018-12-11 10:41:28]
    효성인포메이션시스템, ‘웹 어워드 코리아 ... [2018-12-11 10:21:07]
    산탄데르 그룹의 오픈뱅크, AWS 클라우드에 ... [2018-12-11 10:14:57]
    아크로니스, 블록체인 및 AI 기반 사이버 ... [2018-12-11 10:08:19]
    세계 최초 AI 챗봇 기반 P2P 자산 거래소 ... [2018-12-11 09:55:00]
    엔비디아, 스마일게이트 RPG ‘로스트아크 ... [2018-12-11 09:39:53]
    베잔트 파운데이션, 게임 및 콘텐츠 업계 ... [2018-12-11 09:26:07]


     

     

     

    커뮤니티 | 하드웨어리뷰 | 벤치마크 | 강좌/기술동향 | 용산핫라인

     

    개인보호 정책 | 비밀번호를 모르실 때

     

    Copyright ⓒ 2001 HardWareLAB. All Right Reserved.