2022-06-26 07:20 (일)
Purple Fox 멀웨어, 가짜 텔레그램 메신저 앱 통해 유포
상태바
Purple Fox 멀웨어, 가짜 텔레그램 메신저 앱 통해 유포
  • 페소아 기자
  • 승인 2022.01.06 15:13
이 기사를 공유합니다

텔레그램 앱의 트로이목마 설치 프로그램이 윈도우 기반 Purple Fox 백도어를 배포하는 데 사용되는 것이 발견되었다.

더해커뉴스에 따르면, 미네르바 랩스 연구원은 “이 공격은 악성 페이로드를 드롭하기 위해 합법적인 소프트웨어를 이용하는 일반적인 침입과 다르다”며 "이 위협 행위자는 공격을 여러 개의 작은 파일로 분리함으로써 안티 바이러스 엔진의 탐지율을 매우 낮게 하여 최종 단계 Purple Fox 루트킷 감염으로 이어지게 했다"라고 말했다고 보도했다.

2018년에 처음 발견된 Purple Fox는 멀웨어가 보안 솔루션의 범위를 벗어나 탐지를 회피할 수 있는 루트킷 기능과 함께 제공된다. 가디코어의 2021년 3월 보고서는 백도어가 더 빠르게 확산되도록 하는 웜과 유사한 전파 기능에 대해 자세히 설명했다. 이후 2021년 10월에는 트렌드마이크로 연구원이 더 안전한 통신 설정 수단을 위해 명령 및 제어(C2) 서버에 연결하기 위해 WebSocket을 활용하는 Purple Fox와 함께 배포된 FoxSocket이라는 .NET 임플란트를 발견했다.

연구원들은 "Purple Fox의 루트킷 기능은 더 은밀하게 목표를 수행할 수 있도록 한다. 이를 통해 Purple Fox는 영향을 받는 시스템에 지속적으로 유지될 뿐만 아니라 추가 페이로드를 전달할 수 있다."고 설명했다.

마지막으로 중요한 것은 2021년 12월에 트렌드마이크로는 지속적이고 은밀한 실행과 악용을 위해 악성 SQL CLR(공용 언어 런타임) 모듈을 삽입, 은밀한 실행, 궁극적으로 불법 암호화폐 채굴을 위한 SQL 서버를 표적으로 하는 Purple Fox 감염 체인의 후반 단계에 대해서도 밝혔다.

미네르바 랩스가 관찰한 새로운 공격 체인은 텔레그램 설치 프로그램 파일, 채팅 앱에 대한 합법적인 설치 프로그램을 드롭하는 AutoIt 스크립트 및 C2 서버로부터 다음 단계의 멀웨어를 검색하기 위해 실행되는 "TextInputh.exe"라는 악성 다운로더로 시작된다.

그 후 다운로드된 파일은 다른 바이러스 백신 엔진과 관련된 프로세스를 차단한 후 현재는 종료된 원격 서버에서 Purple Fox 루트킷을 다운로드 및 실행하는 최종 단계로 진행한다.

해당 연구원은 "동일한 공격 체인을 사용하여 동일한 Purple Fox 루트킷 버전을 제공하는 다수의 악성 설치 프로그램을 발견했다. 일부는 이메일을 통해 전달된 것 같고 나머지는 피싱 웹사이트에서 다운로드한 것으로 보인다. 이 공격의 장점은 모든 단계가 전체 파일 세트 없이는 쓸모가 없는 다른 파일로 분리된다는 것이다"라고 설명했다.

★정보보안 대표 미디어 데일리시큐!★