새로운 공격 프레임워크가 발견.
이는 독립 실행형 C&C인 알키미스트(Alchimist)와 원격 관리 기능을 가진 새로운 멀웨어인 Insekt RAT으로 구성.
Windows, macOS, Linux 시스템 모두를 타겟이 될 수 있음.
알키미스트 C2는 중국어 간체로 작성된 웹 인터페이스를 가져, 배후에 중국 해킹 단체가 있는 것으로 확인된다.
알키미스트는 GoLang으로 작성된 64bit 리눅스 실행파일이며, 웹 인터페이스용 리소스, Windows 및 Lunux용으로 컴파일된 Insekt RAT 페이로드를 포함한 데이터를 가졌다.
[Insekt의 기능들]
- 페이로드 생성
- 원격 세션 설정
- 원격 시스템에 페이로드 배포
- 스크린샷 캡처
- 원격 쉘코드 실행
- 임의 명령 실행
또한 알키미스트는 이전에 Talos가 공개한 또 다른 C&C 프레임워크인 Manjusaka와 유사한 구성, 동일한 기능을 가지고 있다. 주요 차이점은 웹 UI 구현 방식과 프레임워크가 단일 파일 기능을 구현하는 방식에 있음.
- Manjusaka: Gin 웹 프레임워크와 packr라는 자산 번들링 프레임워크를 사용하여 임플란트를 삽입하고 저장
- Alchimist: 동일한 기능을 구현하기 위해 GoLang만 사용하여 기본적인 방식 사용.
참고 기사 링크 2 (talos intelligence)
[개인의견]
링크 2에 굉장히 자세히 나와있으니 꼭 볼 것
다만.. 기사 읽으면서 영어 단어 뜻을 모르겠다.
- 임플란트 코드. C2 임플란트. 임플란트의 의미는 대체 뭐지
- 자산 번들링 프레임워크.. 웹팩을 의미하는 것인지?
이 링크에서 임플란트 관련 설명을 보았다.
- 임플란트는 주로 파일을 훔치고 실시간 위치 데이터를 업로드 하는 기능이 있다.
- 64초마다 C2서버에서 명령을 요청한다.
- 백도어 임플란트, 멀웨어 임플란트, 악성 임플란트 ...
임플란트: 대충 C2서버와 통신하는, 공격에 사용되며 타겟 시스템에 심어지는 것이라고 해석했다.
Packr(자산 번들링 프레임워크): Go 바이너리 내부에 정적 자산을 묶는 간단한 솔루션
'일상X사랑X돈 > 보안이슈' 카테고리의 다른 글
| [보안이슈] 아파치 라이브러리 - 새로운 초고위험도 취약점 (0) | 2022.10.18 |
|---|---|
| [보안이슈] 카카오 장애 발생 틈타 스피어피싱 공격 (0) | 2022.10.17 |
| [보안이슈] 소비유도 상술 다크패턴 마케팅 규제 마련 필요성 제기, 다크패턴이란? (0) | 2022.10.13 |
| [보안이슈] 러시아 해커 킬넷(KillNet), 미국 내 대형 공항들에 디도스 공격 (0) | 2022.10.12 |
| [보안이슈] 숙련되지 않은 공격자도 쉽게 피싱 공격이 가능하게 해주는 PhaaS, 카페인(Caffeine) (0) | 2022.10.11 |