
약 12개 조직에 푸시된 후속 페이로드 중 하나는 Kaspersky가 설명하는 “최소한의 백도어”였습니다. 명령을 실행하고, 파일을 다운로드하고, 메모리에서 쉘코드 페이로드를 실행하는 기능이 있어 감염을 감지하기가 더 어렵습니다.
Kaspersky는 러시아에 위치한 교육 기관에 속한 단일 시스템에 설치된 QUIC RAT이라는 더 복잡한 백도어를 관찰했다고 밝혔습니다. 초기 분석에 따르면 notepad.exe 및 conhost.exe 프로세스에 페이로드를 주입할 수 있으며 HTTP, UDP, TCP, WSS, QUIC, DNS 및 HTTP/3를 포함한 다양한 C2 통신 프로토콜을 지원하는 것으로 나타났습니다.
감염된 100개 조직은 주로 러시아, 브라질, 터키, 스페인, 독일, 프랑스, 이탈리아 및 중국에 위치해 있었습니다. 공격에 대한 Kaspersky의 가시성은 공격이 자체 제품에서 제공하는 원격 측정에만 기반하기 때문에 제한됩니다.
Kaspersky 연구원들은 다음과 같이 썼습니다.
분석에 따르면 영향을 받는 시스템의 10%가 기업 및 조직에 속해 있는 것으로 나타났습니다. 공격자는 정보 수집기 페이로드만을 사용하여 영향을 받는 대부분의 컴퓨터를 감염시키려고 시도했습니다. 그러나 더 복잡한 다른 백도어 페이로드는 러시아, 벨로루시, 태국에 위치한 정부, 과학, 제조 및 소매 조직의 시스템 12대에서만 관찰되었습니다. 감염된 시스템의 작은 하위 집합에 백도어를 배포하는 이러한 방식은 공격자가 표적 방식으로 감염을 수행하려는 의도를 가지고 있음을 분명히 나타냅니다. 그러나 사이버 간첩인지 ‘대형 사냥’인지 그들의 의도는 현재 불분명합니다.
최근 공급망 공격은 Trivy, Checkmarx 및 Bitwarden을 공격했으며 오픈 소스 리포지토리를 통해 제공되는 150개 이상의 패키지가 있습니다. 작년에는 이러한 공격이 적어도 6건 이상 발생했습니다.
Daemon Tools를 사용하는 사람은 평판이 좋은 바이러스 백신 소프트웨어를 사용하여 컴퓨터 전체를 검사하는 데 시간을 투자해야 합니다. Windows 사용자는 Kaspersky 게시물에 나열된 손상 지표를 추가로 확인해야 합니다. 기술적으로 고급 사용자의 경우 Kaspersky는 “특히 소스가 Temp, AppData 또는 Public과 같이 공개적으로 액세스 가능한 디렉터리에서 실행되는 실행 파일인 경우 합법적인 시스템 프로세스에 의심스러운 코드 삽입”을 모니터링할 것을 권장합니다.
이 주제에 대해 더 알고 싶다면 아래를 참고하세요