Dark Caracal APT 그룹이 13년 된 백도어 트로이 목마의 새로운 변종을 사용해 최근 여러 섹터에 대한 일련의 공격을 수행하고 있는 것으로 체크포인트 조사결과 드러났다.
Dark Caracal은 Lebanese General Directorate of General과 관련된 APT 그룹으로, 최근 공격에서 Bandook이라고 불리는 13년 된 백도어 트로이 목마의 새 버전을 사용한 것으로 조사됐다.
Bandook은 2015년과 2017년 사이버공격 캠페인에서 마지막으로 발견되었으며 각각 "Operation Manul"과 "Dark Caracal"이라고 불렸으며 카자흐스탄 정부와 레바논 정부 후원으로 추측하고 있다.
체크포인트 측은 "지난 1년 동안, 멀웨어 변종 수십 개가 위협 환경에 다시 등장하기 시작했다. 오래된 멀웨어들에 대한 각별한 주의를 기울여야 한다”고 강조했다.
이어 "이 공격그룹은 정부, 금융, 에너지, 식품, 의료, 교육, IT 및 법률 기관을 포함한 여러 부문을 표적으로 삼고 있다. 또 싱가포르, 키프로스, 칠레, 이탈리아, 미국, 터키, 스위스, 인도네시아 및 독일의 법인을 대상으로 공격했다”고 전했다.
공격자들은 첫 번째 단계에서 ZIP 파일로 제공되는 미끼인 마이크로소프트 워드문서를 활용한다.
아카이브를 열면 악성 매크로가 다운로드되고 이후 원본 원드 문서 내에서 암호화 된 2단계 파워쉘 스크립트를 삭제하고 실행한다.
공격의 마지막 단계에서 파워쉘 스크립트는 드랍박스 또는 비트버켓과 같은 합법적인 클라우드 스토리지 서비스에서 인코딩 된 실행 부분을 다운로드 한 다음 Bandook 로더를 어셈블해 RAT를 새로운 IE 프로세스에 삽입한다.
★정보보안 대표 미디어 데일리시큐!★
