데스스톨커(DeathStalker) 해킹조직이 최근 공격에서 새로운 PowerShell 백도어를 사용하고 있는 것으로 조사됐다.

DeathStalker는 카스퍼스키에서 발견 한 해킹 그룹으로 2012년부터 주로 로펌과 금융기관을 비롯한 전 세계 조직을 대상으로 공격을 시도하고 있는 조직이다.

피해자 조직은 아르헨티나, 중국, 키프로스, 인도, 이스라엘 등에 위치한 중소기업들이다.

카스퍼스키 보안연구원은 7월 중순부터 해당 조직이 공격에 사용하고 있는 PowerPepper라는 신종 백도어를 확인했다.

연구원은 "PowerPepper는 원격으로 전송 된 쉘 명령을 실행할 수 있는 윈도우 메모리 내 파워쉘 백도어다"라고 분석했다.

이 백도어는 마우스 움직임 감지, 클라이언트의 MAC 주소 필터링, 감지 된 안티 바이러스 제품의 우회, 샌드 박스 실행 회피 등 기능을 갖고 있다.

백도어는 다양한 트릭을 사용해 탐지를 회피하고 DNS over HTTPS(DoH)를 활용해 C2 서버와 통신한다. PowerPepper 백도어는 주로 미국, 유럽 및 아시아의 법률 및 컨설팅 회사 공격에 사용되었다.

PowerPepper 공격 체인은 스피어피싱을 통해 워드 문서로 유포되고 있다. 각별한 주의가 요구된다.

★정보보안 대표 미디어 데일리시큐!★