사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(http://www.estc.co.kr)는 이전에 없던 새로운 설치 기술을 사용하는 맬웨어를 발견했다고 밝혔습니다. 이 것은 몇가지 단계와 이전과는 다른 여러 기술을 갖추고 스스로 기본 인쇄 모니터로 등록하는 새로운 다운로더를 발견했습니다.

 

ESET 연구원들은 중동지역을 대상으로 하는 사이버 공격을 조사하던 중 기술적으로 흥미로운 다운로더를 발견했습니다. 많은 비 전통적 기술 중 하나가 눈에 띄었는데 이 맬웨어는 “Default Print Monitor”라는 이름으로 새로운 로컬 포트 모니터를 등록합니다.

 

이 다운로더는 DePriMon 으로 명명되었는데 복잡성과 모듈식 아키텍쳐로 인해 ESET 연구원은 이를 프레임워크로 간주합니다.

 

ESET 원격 분석 결과 DePriMon 맬웨어는 20173월부터 활성화되어 중부 유럽에 위치한 민간기업과 중동 지역 수십 대의 컴퓨터에서 탐지되었습니다. DePriMon은 드문 경우에 Lamberts 사이버 스파이 그룹(Longhorn 이라고도 함)에서 사용되고 Vault 7(CIA 해킹 툴) 유출과 연관된 ColoredLambert 맬웨어와 함께 탐지되었습니다.

 

ESET 연구원들은 DePriMon이 개발자가 아키텍쳐를 설정하고 중요한 구성 요소를 만드는 데 특별한 노력을 기울인, 흔치 않은 고급 다운로더인 것을 발견했습니다. 따라서 대상의 제한된 지리적 분포와 악성 높은 사이버스파이 그룹과의 관계를 넘어 주목 받을만 합니다.

 

DePriMon은 메모리에 다운로드되어 직접 실행되는 반사형 DLL 로딩 기술을 사용합니다. 디스크에는 저장되지 않습니다. 흥미로운 요소가 포함된 놀랍도록 광범위한 구성 파일이 있으며 암호화가 적절하게 구현되어 있으며 C&C 통신을 효과적으로 보호합니다. 결과적으로 DePriMon은 페이로드 다운로드 및 실행과 동시에 시스템과 사용자에 대한 기본 정보를 수집하도록 설계된 강력하고 유연하며 지속적인 도구라 할 수 있습니다.

 

ESET 연구원들은 방어자가 이러한 위협으로부터 안전할 수 있도록 하기 위해 MITRE ATT&CK 기술 자료에서 지속성 및 권한 상승 전술에 따라 포트 모니터로 분류된 설치 기술에 초점을 두고 새로 발견된 이 맬웨어를 철저히 분석했습니다.

MITRE ATT&CK 기술 자료에는 이 기술의 실제 예가 나와 있지 않기 때문에 ESET 연구원들은 DePriMon이 공개적으로 기술된 포트 모니터기술의 첫 번째 예라고 생각합니다.

 

자세한 내용은 WeLiveSecurity 블로그 게시물 DePriMon 을 참고하십시오.

 

 

 

사업자 정보 표시
ESET KOREA operated by ESTC | 정형래 | 서울시 강남구 논현로 406 요경빌딩 4층 | 사업자 등록번호 : 264-81-44862 | TEL : 070-7839-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

이셋코리아

안전한 기술을 즐기는 ESET KOREA operated by ESTC 공식 블로그입니다.

댓글을 달아 주세요