HTML 밀수 기술은 초기 액세스 권한을 얻고 은행 악성 코드, 원격 관리 트로이 목마(RAT), 랜섬웨어 페이로드를 포함하되 이에 국한되지 않는 다양한 위협을 배포하기 위한 수단으로 피싱 캠페인에서 공격자가 점점 더 많이 사용하고 있습니다.
마이크로소프트 365 디펜더 위협 인텔리전스(Microsoft 365 Defender Threat Intelligence) 팀은 목요일에 현재 확산되고 있는 Mekotio 뱅킹 트로이목마를 발견했다는 새로운 보고서를 발표했습니다.비동기RAT,nnJC백도어 및 악명 높은 TrickBot 악성 코드의 침투. 2021년 7월 Menlo Security도 이 주장을 공개적으로 기록했습니다.ISOMorph다단계 공격.
HTML 밀수는 공격자가 최신 웹 브라우저의 취약점이나 설계 결함을 악용하는 대신 HTML5 및 JavaScript의 기본 기능을 악용하여 피해자의 컴퓨터에 1단계 드로퍼를 "밀수"할 수 있도록 하는 방법으로, 일반적으로 악성 스크립트를 삽입하는 공격 방법입니다. 세심하게 제작된 HTML 첨부 파일이나 웹 페이지에서.
이러한 방식으로 공격자는 웹 서버에서 리소스를 얻기 위해 HTTP 요청을 하지 않고도 JavaScript를 사용하여 프로그래밍 방식으로 HTML 페이지에 페이로드를 구성할 수 있으며 일부 보안 제품의 차단을 우회할 수도 있습니다.
연구원들은 "피해자가 웹 브라우저에서 HTML을 열면 브라우저가 자동으로 악성 스크립트를 구문 분석하고 호스트 장치에서 페이로드를 조합합니다"라고 말했습니다.설명하다. "따라서 공격자는 악성 실행 파일이 네트워크를 통해 직접 전달되는 대신 방화벽 뒤에서 로컬로 악성 코드를 구축하고 있습니다."
연구원들은 “피해자가 웹 브라우저에서 HTML을 열면 브라우저가 자동으로 악성 스크립트를 구문 분석하여 피해자의 장치에서 페이로드를 실행합니다.”라고 말했습니다.
따라서 공격자는 악성 실행파일이 네트워크를 통해 직접 대상을 공격하는 것이 아니라, 방화벽 뒤에 로컬로 악성코드를 구축해 대상을 공격할 수 있다.
Microsoft는 웹 프록시와 이메일 게이트웨이를 우회하는 HTTP 밀수 능력 덕분에 많은 "국가적 분대"와 사이버 범죄 그룹이 실제 공격에서 악성 코드를 확산시키는 효율적인 방법이 된다고 지적합니다.
올해 5월 초, 한 조직은 SolarWinds 공급망이해커그 배후에 있는 위협그룹인 노벨리움(Nobelium)은 미국을 포함한 24개국의 정부기관, 싱크탱크, 컨설턴트, 비정부기구 등을 표적으로 삼아 이 특이한 공격방식을 사용하고 있는 것으로 밝혀졌다.
스파이 활동 외에도 HTML 밀수는 Mekotio Trojan과 관련된 뱅킹 악성 코드 공격에 자주 사용됩니다. 공격자는 피해자가 이를 클릭하면 JavaScript 파일이 포함된 ZIP 파일의 다운로드를 트리거하는 악성 링크가 포함된 스팸 이메일을 보냅니다. 자격 증명 도용 및 키로깅이 가능한 바이너리를 검색하는 다운로더.
그러나 일부 다른 행위자들이 HTML 밀수를 자신의 무기에 통합하고 있다는 징후도 있습니다. 9월에는 DEV-0193이 후원하는 이메일 캠페인이 TrickBot을 전달하기 위해 동일한 방법을 남용하는 것이 발견되었습니다. 이러한 공격에는 악성 HTML 첨부 파일이 포함되었습니다. 첨부 파일이 웹 브라우저에서 열리면 수신자의 시스템에 비밀번호로 보호된 JavaScript 파일이 생성되어 피해자에게 원본 HTML 첨부 파일의 비밀번호를 제공하라는 메시지가 표시됩니다.
이렇게 하면 JavaScript 코드에서 실행이 시작되고, 이어서 공격자가 제어하는 서버와 통신하는 Base64로 인코딩된 PowerShell 명령이 실행되고 TrickBot 악성 코드를 다운로드하여 궁극적으로 후속 랜섬웨어 공격을 위한 길을 닦습니다.
마이크로소프트는 "이메일 캠페인에서 HTML 밀수 공격 방법을 사용하는 공격이 급증하는 것은 공격자가 회피 효과를 달성하기 위해 공격 방법을 지속적으로 개선하고 있는 예"라고 지적했습니다. "이번 공격 패턴은 사이버범죄조직의 전술, 기법, 절차(TTP)가 어떻게 APT 공격에 침투하는지를 보여준다. 또한 TTP가 효과적인 기술로 여겨지는 암시장 경제를 강화한다."
원문, 저자: CNCSO, 재인쇄할 경우 출처를 밝혀주세요: https://cncso.com/kr/html-smuggling-is-frequently-used-by-hackers-in-malware-and-phishing-attacks.html
