위협 행위자들이 마이크로소프트 빌드엔진(MSBuild)를 악용해 타깃 윈도우 시스템에 파일없이 원격 액세스 트로이 목마 및 암호 도용 멀웨어를 전달하고 있다.

사이버 보안 회사인 아노말리(Anomali)의 연구원들은 악성 빌드 파일이 백도어를 배포하는 암호화된 실행 파일과 쉘코드와 함께 포함되어 공격자가 피해자의 컴퓨터를 제어하고 민감한 정보를 훔칠 수 있다고 설명한다.

MSBuild는 마이크로소프트에서 개발한 .NET 및 비쥬얼 스튜디오 용 오픈소스 빌드 도구로 소스 코드 컴파일, 패키징, 테스트, 응용 프로그램 배포가 가능하다.

MSBuild를 사용하여 파일없이 컴퓨터를 손상시킬 때, 이러한 멀웨어는 합법적인 응용 프로그램을 사용하여 공격 코드를 메모리에 로드하기 때문에 시스템에 감염 흔적을 남기지 않고 공격자에게 높은 수준의 은밀성을 제공하여 탐지를 방해한다.

더해커뉴스에 따르면, 두 개 보안 기업 만이 MSBuild.proj 파일(“vwnfmo.lnk”)을 악성으로 표시하고 4월 18일 바이러스토탈에 업로드된 두 번째 샘플은 모든 멀웨어 방지 프로그램에서 탐지되지 않은 상태로 유지되고 있다고 전했다.

아노말리에서 분석한 대부분의 샘플은 Remcos RAT를 전달하는 것으로 확인되었으며 다른 일부는 Quasar RAT 및 RedLine Stealer도 제공한다.

Remcos(원격 제어 및 감시 소프트웨어라고도 함)를 설치하면 키 입력 캡처에서 임의의 명령 실행, 마이크 및 웹캠 녹음에 이르기까지 원격 공격자에게 완전한 액세스 권한을 부여하는 반면 Quasar는 키로깅, 암호 도용 등이 가능한 오픈 소스 .NET 기반 RAT이다. 이름에서 알 수 있듯이 Redline Stealer는 암호 화폐 앱과 관련된 암호 및 지갑을 훔칠 뿐 아니라 브라우저, VPN 및 메시징 클라이언트에서 자격 증명을 수집하는 상용 악성 코드이다.

아노말리 연구원인 타라 고울드(Tara Gould)와 게이지 멜레(Gage Mele)은 “이 캠페인의 위협 행위자들은 보안 조치를 우회하는 방법으로 파일리스 전송을 사용했으며, 이 기술은 행위자들이 다양한 목표와 동기를 위해 사용한다. 이 캠페인은 안티 바이러스 소프트웨어에만 의존하는 것만으로는 사이버 방어에 불충분하며 안티 바이러스 기술에서 악성 코드를 숨기기 위한 합법적인 코드 사용이 효과적이고 기하 급수적으로 증가하고 있다는 것을 의미한다.”라고 말했다.

★정보보안 대표 미디어 데일리시큐!★