정보보안 스터디 - 30주차 5일 - Dragon Breath APT 전략

원문 - https://securityaffairs.com/145876/apt/dragon-breath-double-dll-sideloading.html

 

Telegram 중국 버전을 만들어 도박을 하는 중국인들을 노리고 있습니다.

처음 사이트를 방문한 사람은 피싱, SEO poisoning 등의 방법을 통해 악성앱을 다운로드 받습니다. 

Android, IOS, windows 까지 배포 중이고

웹사이트는 일시적으로 보여졌다가 안보여졌다가 하고 있습니다.

 

 

 

DLL sideloading은  2010년부터 나온 악성 기법입니다.

 

악성 로더, DLL을 바로 실행시키는 것이 아니라 안티 포렌식을 위해 클리어 loader 2개를 만들고 그 뒤에 side로 악성 로더 DLL을 같이 실행시킵니다. 

.txt 파일로 들어가서 dll 파일을 call 합니다.

 

앱을 오픈하는 순간 바탕화면에 악성 콘텐츠를 로드하는 shortcut을 만들고 실행합니다.

악성 파일을 다운로드, 실행시키며 shortcut을 startup시작프로그램에 생성해서 persistence를 유지합니다.

 

피해는 

안티포렌식을 위해 이벤트 로그를 지우고, 복사된 클립보드들을 추출하고(비밀번호 및 중요정보가 오래 남아있을 경우가 많습니다.), 심지어 크롬의 MetaMask 암호화폐 지갑 확장자를 통해 탈취합니다.   

 

 

 

 LetsVPN and WhatsApp 등도 나오고 있습니다.