새로운 Mirai 변종은 흔하지 않은 전술을 사용하여 맬웨어를 배포합니다.

RapperBot이라는 새로운 버전의 Mirai 변종은 상대적으로 흔하지 않거나 이전에 알려지지 않은 감염 벡터를 사용하여 광범위하게 확산하려는 맬웨어의 최신 예입니다.

RapperBot은 작년에 많은 양의 Mirai 소스 코드를 포함하지만 다른 Mirai 변종과 비교하여 기능이 상당히 다른 IoT(사물 인터넷) 맬웨어로 처음 등장했습니다. 차이점에는 C2(command-and-control) 통신을 위한 새로운 프로토콜의 사용과 Mirai 변종에서 흔히 볼 수 있는 Telnet 서비스가 아닌 무차별 대입 SSH 서버용 내장 기능이 포함되었습니다.

끊임없이 진화하는 위협

작년에 악성코드를 추적한 Fortinet의 연구원들은 제작자가 정기적으로 악성코드를 변경하는 것을 관찰했습니다. 지속성을 유지하기 위해 코드 추가 재부팅 후에도 감염된 시스템에서 원격 바이너리 다운로더를 통해 자가 전파되는 코드를 사용합니다. 나중에 맬웨어 작성자는 자체 전파 기능을 제거하고 무차별 대입 SSH 서버에 대한 지속적인 원격 액세스를 허용하는 기능을 추가했습니다.

2022년 XNUMX분기에 Kaspersky의 연구원들은 새로운 RapperBot 변종 발견 SSH 무차별 대입 기능이 제거되고 텔넷 서버를 대상으로 하는 기능으로 대체된 야생에서 순환합니다.

Kaspersky의 맬웨어 분석은 보안 공급업체가 "지능형"이라고 설명하고 무차별 암호 대입 텔넷의 다소 드문 기능을 통합한 것으로 나타났습니다. 방대한 양의 자격 증명으로 무차별 대입하는 대신 이 악성코드는 장치에 텔넷으로 연결할 때 수신되는 프롬프트를 확인하고 이를 기반으로 무차별 대입 공격에 적합한 자격 증명 세트를 선택합니다. 이는 다른 많은 맬웨어 도구와 비교하여 무차별 대입 프로세스의 속도를 크게 높인다고 Kaspersky는 말했습니다.

Kaspersky의 수석 보안 연구원인 Jornt van der Wiel은 "장치에 텔넷으로 연결하면 일반적으로 메시지가 표시됩니다."라고 말합니다. 프롬프트는 RapperBot이 대상 장치와 사용할 자격 증명을 결정하는 데 사용하는 일부 정보를 공개할 수 있다고 그는 말합니다.

대상 IoT 장치에 따라 RapperBot은 다른 자격 증명을 사용한다고 그는 말합니다. “따라서 장치 A의 경우 사용자/비밀번호 집합 A를 사용합니다. 장치 B의 경우 사용자/비밀번호 집합 B를 사용합니다.”라고 van der Wiel은 말합니다.

그런 다음 맬웨어는 "wget", "curl" 및 "ftpget"과 같은 다양한 가능한 명령을 사용하여 대상 시스템에 다운로드합니다. Kaspersky에 따르면 이러한 방법이 작동하지 않으면 맬웨어는 다운로더를 사용하여 장치에 설치됩니다.

RapperBot의 무차별 대입 프로세스는 상대적으로 흔하지 않으며 van der Weil은 이 접근 방식을 사용하는 다른 맬웨어 샘플의 이름을 지정할 수 없다고 말합니다.

그럼에도 불구하고 야생에 존재하는 맬웨어 샘플의 수를 감안할 때 현재 이 접근 방식을 사용하는 유일한 맬웨어인지 말하기는 불가능합니다. 그는 이 기술을 사용한 최초의 악성 코드가 아닐 가능성이 높다고 말했다.

새롭고 희귀한 전술

Kaspersky는 RapperBot을 희귀하고 때때로 이전에는 볼 수 없었던 확산 기술을 사용하는 맬웨어의 한 예로 지적했습니다.

또 다른 예는 러시아어 사이버 범죄 포럼에서 서비스로서의 맬웨어 옵션으로 사용할 수 있는 정보 도용자인 "Rhadamanthys"입니다. 정보 도용자는 공격자가 악성 광고를 통해 배포하기 시작한 점점 더 많은 악성 프로그램군 중 하나입니다.

이 전술에는 악성 코드가 포함된 광고 또는 온라인 광고 플랫폼에 피싱 사이트 링크가 포함된 광고를 심는 공격자가 포함됩니다. 종종 광고는 합법적인 소프트웨어 제품 및 애플리케이션에 대한 것이며 검색 엔진 결과 또는 사용자가 특정 웹 사이트를 탐색할 때 상위에 표시되도록 하는 키워드를 포함합니다. 최근 몇 달 동안 위협 행위자들은 다음과 같은 소위 악성 광고를 사용했습니다. 널리 사용되는 암호 관리자의 대상 사용자 LastPass, Bitwarden 및 1Password와 같은.

맬버타이징 사기로 위협 활동가의 성공이 증가함에 따라 이 기법의 사용이 증가하고 있습니다. 예를 들어 Rhadamanthys의 작성자는 초기 감염 벡터로 악성 광고로 전환하기 전에 처음에 피싱 및 스팸 이메일을 사용했습니다.

van der Weil은 "Rhadamanthys는 맬버타이징을 사용하는 다른 캠페인과 전혀 다르지 않습니다."라고 말합니다. "하지만 맬버타이징이 점점 인기를 얻고 있는 추세의 일부입니다."

Kaspersky가 발견한 또 다른 추세는 덜 숙련된 사이버 범죄자들 사이에서 오픈 소스 맬웨어 사용이 증가하고 있다는 것입니다.

GitHub에서 사용할 수 있는 코인 마이닝 맬웨어용 다운로더인 CueMiner를 사용하십시오. Kaspersky의 연구원들은 공격자들이 BitTorrent 또는 OneDrive 공유 네트워크를 통해 다운로드한 크랙된 앱의 트로이 목마 버전을 사용하여 맬웨어를 배포하는 것을 관찰했습니다.

"오픈 소스 특성으로 인해 누구나 다운로드하고 컴파일할 수 있습니다."라고 van der Weil은 설명합니다. "이러한 사용자는 일반적으로 고도의 사이버 범죄자가 아니기 때문에 BitTorrent 및 OneDrive와 같은 비교적 단순한 감염 메커니즘에 의존해야 합니다."

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• 플라토 블록체인. Web3 메타버스 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/remote-workforce/new-mirai-variant-employs-uncommon-tactics-to-distribute-malware