악성 코드는 최초의 컴퓨터 바이러스가 등장한 이후 해커와 보안 연구원 사이의 고양이와 쥐 게임이었습니다. 오늘날 대부분의 맬웨어는 적어도 전달 유형과 방법 측면에서 알려져 있습니다. 그러나 악당들은 때때로 자신의 흔적을 숨기기 위해 새로운 수법을 고안합니다.
보안 분석 회사인 Mandiant는 최근 최소 두 개의 서로 다른 웹사이트에서 Base64 인코딩을 사용하여 3단계 악성 코드의 2단계 페이로드를 전달하는 "전례 없는" 공격 체인을 발견했습니다. 두 웹사이트는 기술 웹사이트 ArsTechnica와 비디오 호스팅 웹사이트 Vimeo입니다.
한 사용자는 ArsTechnica 포럼에 "나는 피자를 좋아해요"라는 캡션과 함께 피자 사진을 게시했습니다. 사진이나 글 자체에는 아무런 문제가 없습니다. 하지만 이 사진은 제3자 웹사이트에서 호스팅되며 해당 URL에는 Base64 문자열이 포함되어 있습니다. ASCII로 변환된 Base64는 임의의 문자처럼 보이지만 이 경우 악성코드 패키지의 두 번째 단계를 다운로드하고 설치하기 위한 바이너리 지침을 난독화합니다. 또 다른 경우에는 Vimeo의 무해한 동영상 설명에 동일한 문자열이 나타났습니다.
ArsTechnica 대변인은 익명의 사용자가 이미지(아래)에 대한 이상한 링크를 사이트에 신고한 후 ArsTechnica가 작년 11월에 생성된 계정을 삭제했다고 말했습니다.
Mandiant는 해당 코드가 2020년부터 추적해 온 UNC4990이라는 위협 행위자의 소유임을 식별했다고 밝혔습니다. 대부분의 사용자에게 이러한 지침은 아무런 영향을 미치지 않습니다. 1단계 맬웨어(explorer.ps1)가 이미 포함된 장치에서만 실행할 수 있습니다. UNC4990 확산의 첫 번째 단계는 GitHub 및 GitLab에서 호스팅되는 파일에 연결하도록 구성된 감염된 플래시 드라이브를 통해 이루어집니다.
두 번째 단계는 "빈 공간"이라고 하며 브라우저와 텍스트 편집기에서 공백으로 나타나는 텍스트 파일입니다. 그러나 16진수 편집기로 열면 공백, 탭, 새 줄과 같은 영리한 인코딩 방식을 사용하여 실행 가능한 바이너리 코드를 생성하는 바이너리 파일이 표시됩니다. Mandiant는 이전에 이 기술을 본 적이 없다고 인정했습니다.
Mandiant 연구원인 Yash Gupta는 다음과 같이 말했습니다. "이것은 우리가 보고 있는 색다른 참신한 남용 방식이며 감지하기 어렵습니다. 이는 일반적으로 악성 코드에서 볼 수 없는 것입니다. 이는 우리에게 매우 흥미롭고 지적하고 싶은 것입니다."
실행 후, 엠프티스페이스는 지속적으로 명령 및 제어 서버를 폴링하고 명령에 따라 "Quietboard"라는 백도어를 다운로드합니다. UNC4990은 이 백도어를 이용하여 감염된 시스템에 암호화폐 채굴기를 설치합니다. 그러나 Mandiant는 설치된 Quietboard 인스턴스를 하나만 추적했다고 말했습니다.
Quietboard의 희귀성을 고려하면 UNC4990의 공격으로 인한 위협은 최소화됩니다. 그러나 explorer.ps1 및 빈 공간은 감염률이 높아 사용자가 취약해질 수 있습니다. Mandiant는 블로그에서 감염을 탐지하는 방법을 설명합니다.