보안 연구원들이 합법적인 터널 서비스를 브리지로 활용하여 자격 증명을 빼내는 Python 기반의 새로운 백도어를 발견했습니다. 이 악성코드는 악성 파일을 통해 유포되며 안티바이러스를 회피하기 위한 회피 기술을 적용합니다. 일단 침투하면 C2 서버와 암호화된 연결을 설정하여 트래픽 차단을 어렵게 만듭니다. 목표는 Chrome 및 Firefox와 같은 브라우저에 저장된 비밀번호와 AWS 및 Azure와 같은 클라우드 플랫폼 액세스 권한을 탈취하는 것입니다.
데이터 도난을 위한 합법적인 터널의 은폐 🕳️
이 백도어는 합법적인 터널 서비스를 사용하여 명령 및 제어 트래픽을 위장하므로 경계 보안 시스템의 탐지를 어렵게 만듭니다. Python으로 작성되었으며 표준 라이브러리를 사용하여 운영 체제와 상호 작용하고, 브라우저 비밀번호 저장소에서 데이터를 추출하며, API를 통해 클라우드 서비스 자격 증명을 수집합니다. 모듈식 설계 덕분에 악성코드의 핵심을 수정하지 않고도 탈취 모듈을 업데이트할 수 있습니다. 연구원들은 회피 기능에 샌드박스 확인 및 자동화된 분석을 피하기 위한 실행 지연이 포함되어 있다고 지적합니다.
사이버 범죄자들도 VPN을 사용할 줄 알지만, 훔치는 데 사용합니다 🦹
나쁜 사람들도 현대화되어 이제는 직장에서 Netflix를 보려는 직장인처럼 VPN 터널을 사용하는 것 같습니다. 차이점은 그들은 시리즈를 찾는 것이 아니라 AWS 및 Azure 비밀번호를 찾는다는 것입니다. 가장 슬픈 점은 터널 서비스가 완전히 합법적이고 정당하다는 것이므로 도구를 탓할 수도 없다는 것입니다. 마치 도둑이 당신 집에 오기 위해 Uber를 이용하는 것과 같습니다. 차는 잘못이 없지만, 여정은 여전히 의심스럽습니다.