회피적인 Jupyter Infostealer 캠페인에서 위험한 변종 공개

보안 연구원들은 최소 2020년부터 Chrome, Edge 및 Firefox 브라우저 사용자를 표적으로 삼아온 정보 도용자인 Jupyter의 정교하고 새로운 변종과 관련된 공격이 최근 증가하고 있음을 발견했습니다.

Yellow Cockatoo, Solarmarker 및 Polazert라고도 불리는 이 악성 코드는 컴퓨터를 백도어하고 컴퓨터 이름, 사용자의 관리자 권한, 쿠키, 웹 데이터, 브라우저 비밀번호 관리자 정보 및 기타 민감한 데이터를 포함한 다양한 자격 증명 정보를 수집할 수 있습니다. 암호화폐 지갑 및 원격 액세스 앱에 대한 로그인과 같은 피해자 시스템.

지속적인 데이터 탈취 사이버 위협

VMware의 Carbon Black 관리형 탐지 및 대응(MDR) 서비스 연구원들은 최근 새로운 버전을 관찰했습니다 PowerShell 명령 수정과 합법적인 것처럼 보이는 디지털 서명 페이로드를 활용하는 악성 코드가 XNUMX월 말부터 꾸준히 증가하는 시스템을 감염시켰습니다.

VMware는 이번 주 보안 블로그에서 “최근 Jupyter 감염은 여러 인증서를 사용하여 악성 코드에 서명하고 이를 통해 악성 파일에 대한 신뢰를 부여하여 피해자의 시스템에 대한 초기 액세스를 제공할 수 있습니다.”라고 밝혔습니다. "이러한 수정은 [Jupyter]의 회피 능력을 향상시켜 눈에 띄지 않게 유지하는 것으로 보입니다."

모피 섹 및 블랙 베리 — 이전에 Jupyter를 추적한 다른 두 공급업체 —는 이 악성코드가 완전한 백도어로 기능할 수 있는 것으로 식별했습니다. 이들은 명령 및 제어(C2) 통신 지원, 다른 악성코드에 대한 드로퍼 및 로더 역할, 탐지를 회피하기 위한 셸 코드 비우기, PowerShell 스크립트 및 명령 실행 등의 기능을 설명했습니다.

BlackBerry는 Jupyter가 OpenVPN, 원격 데스크톱 프로토콜 및 기타 원격 액세스 애플리케이션에 액세스하는 것 외에도 Ethereum Wallet, MyMonero Wallet 및 Atomic Wallet과 같은 암호화폐 지갑을 표적으로 삼는 것을 관찰했다고 보고했습니다.

악성 코드 운영자는 악성 웹 사이트로의 검색 엔진 리디렉션, 드라이브 바이 다운로드, 피싱, SEO 중독 등 다양한 기술을 사용하여 악성 코드를 배포하거나 검색 엔진 결과를 악의적으로 조작하여 악성 코드를 전달했습니다.

Jupyter: 악성코드 탐지 둘러보기

가장 최근의 공격에서 Jupyter 배후의 위협 행위자는 유효한 인증서를 사용하여 악성 코드에 디지털 서명을 하여 악성 코드 탐지 도구가 합법적인 것처럼 보이도록 했습니다. 파일 이름에는 'An-employers-guide-to-group-health-continuation.exe"및"How-To-Make-Edits-On-A-Word-Document-Permanent.exe".

VMware 연구원들은 악성 코드가 C2 서버에 여러 네트워크 연결을 만들어 Infostealer 페이로드를 해독하고 이를 메모리에 로드하는 것을 관찰했는데, 이는 피해자 시스템에 착륙하자마자 거의 즉시 이루어졌습니다.

VMware의 보고서에 따르면 Chrome, Edge 및 Firefox 브라우저를 대상으로 하는 Jupyter 감염은 SEO 중독 및 검색 엔진 리디렉션을 사용하여 공격 체인의 초기 공격 벡터인 악성 파일 다운로드를 장려합니다. “이 악성 코드는 민감한 데이터를 유출하는 데 사용되는 자격 증명 수집 및 암호화된 C2 통신 기능을 보여주었습니다.”

Infostealer의 심각한 증가

벤더에 따르면 Jupyter는 VMware가 최근 몇 년간 클라이언트 네트워크에서 감지한 가장 빈번한 감염 상위 10개 중 하나입니다. 이는 다른 사람들이 보고한 내용과 일치합니다. 급격하고 우려되는 상승 코로나19 팬데믹이 시작된 후 많은 조직에서 대규모 원격 근무로 전환한 후 인포스틸러의 사용이 증가했습니다.

빨간 카나리아예를 들어, RedLine, Racoon, Vidar와 같은 Infostealer가 10년에 상위 2022위 목록에 여러 번 올랐다고 보고했습니다. 대부분의 경우 악성 코드는 악성 광고나 SEO 조작을 통해 합법적인 소프트웨어에 대한 가짜 또는 중독된 설치 프로그램 파일로 도착했습니다. 회사는 공격자가 기업 네트워크 및 시스템에 빠르고 지속적이며 권한 있는 액세스를 가능하게 하는 원격 작업자로부터 자격 증명을 수집하기 위해 주로 악성 코드를 사용한다는 사실을 발견했습니다.

Red Canary 연구원은 “스틸러 악성 코드로부터 면역이 되는 산업은 없으며 이러한 악성 코드의 확산은 대개 광고 및 SEO 조작을 통해 기회주의적으로 발생하는 경우가 많습니다.”라고 말했습니다.

Uptycs가 다음을 보고했습니다. 유사하고 문제가 되는 증가 올해 초 infostealer 배포에서. 회사가 추적한 데이터에 따르면 2023년 XNUMX분기에는 공격자가 인포스틸러를 배포한 사건 수가 지난해 같은 기간에 비해 두 배 이상 증가했습니다. 보안 공급업체는 악성 코드를 사용하여 사용자 이름과 비밀번호, 프로필 및 자동 완성 정보와 같은 브라우저 정보, 신용 카드 정보, 암호화폐 지갑 정보 및 시스템 정보를 훔치는 위협 행위자를 발견했습니다. Uptycs에 따르면 Rhadamanthys와 같은 최신 인포스틸러는 특히 다단계 인증 애플리케이션에서 로그를 훔칠 수도 있습니다. 도난당한 데이터가 포함된 로그는 수요가 많은 범죄 포럼에서 판매됩니다.

“훔친 데이터를 유출하는 것은 조직에 위험한 영향 다른 위협 행위자의 초기 액세스 포인트로 다크 웹에서 쉽게 판매될 수 있기 때문입니다.”라고 Uptycs 연구원은 경고했습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/attacks-breaches/evasive-jupyter-infostealer-campaign-dangerous-variant