DangerousPassword와 관련된 공격 동향 -JPCert

Impotant:
4fb31b9f5432fd09f1fa51a35e8de98fca6081d542827b855db4563be2e50e58
5ad84c75b4a8825a4ee49fcb2ab895f0a51c9877fc4e50595fa1917ae1daa748
https://www.jamf.com/blog/bluenoroff-apt-targets-macos-rustbucket-malware/
826f2a2a25f7b7d42f54d18a99f6721f855ba903db7b125d7dea63d0e4e6df64
7981ebf35b5eff8be2f3849c8f3085b9cec10d9759ff4d3afd46990520de0407
38106b043ede31a66596299f17254d3f23cbe1f983674bf9ead5006e0f0bf880
https://www.ired.team/offensive-security/defense-evasion/how-to-unhook-a-dll-using-c++
f0cf1829a93751d2f7e812545af079a4efebd755f1ee50a8d4537770f692eaaf
9525f5081a5a7ab7d35cf2fb2d7524e0777e37fe3df62730e1e7de50506850f7
a1a30091cf25740468cd1894d39fce07039f89f05eee90cf72aa085698eeeff6
782f24a4b8fa692489ddfdac5eb989f5852bbe0da05c2e27190047f77282b936
9472f5ecac1672186bc1275cc70f024c734d0e6926917ce22b2cb6b1765ce83e
26e376fc80b090b2ee04e7d3104d308a150e58538580109a74f4ac49bf362423
f14c5bad5219b1ed5166eb02f5ff08a890a181cef2af565f3fe7bcea9c870e22
31908e42d8cb30f5bda71516de7c5c6a329c7dddcae77e19f64379d351177b90
fc07a2468fafc762e106dd33fd0734a05118eb96d66fcc7ed358669e888d53ca
248867e775fda3c6c03c1daeb0e10d2ce5956cb1c164bbd980ff98fe2f97e38c
a064e62cb168affa9dac8a4374b582bfa289e182f8a5e0b731c4ea9408d99ae3
ba186a1a97d4f647dad39cb3ccae5466bb8d5463ceedf470428484416265ef5f
a2fd03354c2ec433d2eedc28e85c0fe5841b848d5fff1e6583e2d9e1a81b6ca3
1bc742f1aebbc12220cd6bf761509fd3a7aae2d5de88dce8d45fb5cf79ad8ccb
a3f087c83453cde2bc845122c05ebeb60e8891e395b45823c192869ec1b72ea6
8a7ba38d597e8230609df4153039d1bb898479d486e653a6d92d206dd4848c80
7935839ab987a47b9bacc2daf12e7af590259abcfdd473c81a7e540e58ed5760
https
5816eb32cbaadfc3477c823293a8c49cdf690b443c8fa3c19f98399c143df2b3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.200.137.32
d6c3d0d2dedfa37cd1bebded60f303b21da860dcac49cfaa06e3172f0b1138ce
f0b6d6981e06c7be2e45650e5f6d39570c1ee640ccb157ddfe42ee23ad4d1cdb
7e2b38decf1f826fbb792d762d9e6a29147e9ecb44eb2ad2c4dc08e7ee01a140
b63bca8d35653ce17b99b89f00fbee9b5cb6a70420b7dd0c3194038b9031e3e2

요약:
JPCERT/CC는 2019년 6월부터 암호화폐 거래소를 공격하는 관찰된 공격 기술인 Dangerouspassword를 설명하는 보고서를 발표했습니다. 단편 컷 파일을 전송하여 맬웨어를 감염시키는 공격 기술과는 달리, 공격자는 LinkedIn, OneNote 파일, 가상 하드 디스크 파일, MacOS 대상 공격 등 다양한 공격 패턴을 사용하여 맬웨어를 감염시켰습니다. JPCERT/CC는 2019년 6월부터 암호화폐 거래소를 공격하는 관찰된 공격 기술인 Dangerouspassword를 발표하였습니다. 단편 컷 파일, LinkedIn, OneNote 파일, 가상 하드 디스크 파일, MacOS 대상 공격 등 다양한 공격 패턴을 사용하여 맬웨어를 감염시키는 것으로 알려졌습니다.

내용:
JPCERT/CC는 2019 년 6 월부터 위험한 파일 공격 캠페인 (크립토 믹 또는 스 내치 크립토라고도 함)과 관련이있는 것으로 여겨지는 암호 화폐 거래소에 대한 공격을 관찰했습니다. 수년 동안 공격자는 단편 컷 파일을 전송하여 맬웨어를 감염시키는 공격 기술을 사용해 왔습니다.이메일을 통해 그들에게.그러나 그들은 또한 다양한 다른 패턴의 공격을 사용하여 대상을 맬웨어로 감염시키는 것으로 알려져 있습니다.이 기사는 최근에 관찰 된 Dangerouspassword의 공격 기술을 설명합니다.
이 보고서에는 다음 4 가지 공격 패턴이 설명되어 있습니다.LinkedIn에서 악의적 인 CHM 파일을 보내는 공격
OneNote 파일을 사용한 공격
가상 하드 디스크 파일을 사용한 공격
LinkedIn에서 악의적 인 CHM 파일을 보내어 MacOS 공격 대상 공격
맬웨어를 이메일 첨부 파일로 보내는 것 외에도 공격자는 LinkedIn을 통해 대상에 연락하여 맬웨어를 보낼 수 있습니다.그림 1은 LinkedIn을 통해 전송 된 맬웨어가 호스트를 감염시키는 방법을 보여줍니다.
그림 1 : 맬웨어 감염의 흐름
LinkedIn을 통해 전송 된 파일은 RAR 형식으로 압축되며 추출하면 Windows 도움말 파일 (CHM 파일)이 포함되어 있습니다.이 파일이 실행되면 외부 Windows Installer 파일 (MSI 파일)을 다운로드하고 실행합니다.실행 된 MSI 파일은 PowerShell 스크립트를 사용하여 추가 MSI 파일을 다운로드하고 실행합니다 (그림 1의 Administrator-A214051.msi; 파일 이름은 [실행 한 사용자의 사용자 이름] -a [5 random Digits] 1.msi입니다.).이 MSI 파일에는 감염된 호스트에 대한 정보를 보낼 수 있으며 정보는 아래와 같이 HTTP Post 요청에 의해 전송됩니다.정보는 Base64 인코딩됩니다.post /test.msi http /1.1
연결 : 계속하십시오
컨텐츠 유형 : 응용 프로그램/x-www-form-urlencoded
수용하다: */*
허용 : JA-JP
사용자 에이전트 : Mozilla/4.0 (호환 가능; Win32; Winhttp.winhttprequest.5)
컨텐츠 길이 : [크기]
호스트 : [서버 이름]

vgltztojv2vkierl (...) 그림 2는 INFEC에 대한 정보를 수집하기위한 맬웨어 코드의 일부를 보여줍니다......

Open New Windows

DangerousPassword와 관련된 공격 동향 -JPCert/CC Eyes |JPCert 조정 센터 공식 블로그:
https://blogs.jpcert.or.jp/en/2023/05/dangerouspassword