리서치앱 아젠다북 – 쉽고 빠른 설문 조사 플랫폼

Since 보안 리서치 플랫폼 October 2024, Microsoft Defender Experts has observed and helped multiple customers address campaigns leveraging Node.js to deliver malware and other payloads that ultimately lead to information theft and data exfiltration.​[본문 중 번역]​2024년 10월부터 Microsoft Defender Experts(DEX)는 Node.js를 활용하여 정보 유출 및 데이터 유출로 이어지는 맬웨어 및 기타 페이로드를 유포하는 캠페인을 여러 고객이 관찰하고 해결하도록 지원해 왔습니다. Python, PHP, AutoIT과 같은 기존 스크립팅 언어가 여전히 위협에 널리 보안 리서치 플랫폼 사용되고 있지만, 이제 위협 행위자들은 컴파일된 JavaScript를 활용하거나 Node.js를 사용하여 명령줄에서 직접 스크립트를 실행하여 악의적인 활동을 조장하고 있습니다. 위협 행위자의 기술, 전술 및 절차(TTP)의 이러한 변화는 Node.js 관련 맬웨어가 예전만큼 널리 퍼지지는 않았지만, 끊임없이 진화하는 위협 환경의 일부가 되어가고 있음을 시사합니다.​Node.js는 JavaScript 코드를 웹 브라우저 외부에서 실행할 수 있도록 하는 오픈 소스 크로스 플랫폼 JavaScript 런타임 환경입니다. 프런트엔드 및 백엔드 애플리케이션을 구축할 수 있기 때문에 개발자들이 보안 리서치 플랫폼 널리 사용하고 신뢰하는 환경입니다. 그러나 위협 행위자들은 이러한 Node.js의 특징을 이용하여 악성코드를 합법적인 애플리케이션과 혼합하고, 기존의 보안 제어를 우회하며, 대상 환경에 침투하려고 시도합니다. ​저희가 관찰한 가장 최근의 Node.js 활용 공격 중에는 암호화폐 거래와 관련된 악성 광고 캠페인이 있습니다. 이 캠페인은 합법적인 소프트웨어로 위장한 악성 설치 프로그램을 다운로드하도록 사용자를 유인합니다. 이 캠페인은 2025년 4월 현재까지도 활동 중입니다. 이 블로그에서는 공격 체인에 대한 자세한 내용과 새롭게 등장하는 인라인 보안 리서치 플랫폼 스크립트 실행 기술의 예를 제공합니다. 또한 사용자와 방어자가 이러한 공격의 영향을 줄이는 데 도움이 되는 권장 사항도 제공합니다.​악성 광고는 컴파일된 Node.js 실행 파일을 제공합니다.멀버타이징은 고객 환경에서 관찰된 Node.js 공격에서 가장 널리 사용되는 기법 중 하나였습니다. 공격자는 멀버타이징 캠페인을 사용하여 대상을 사기성 웹사이트로 유인하고, 대상은 자신도 모르게 합법적인 소프트웨어로 위장한 악성 설치 프로그램을 다운로드합니다. 이러한 가짜 웹사이트는 금융 서비스, 소프트웨어 업데이트, 인기 애플리케이션과 같은 인기 있는 주제를 보안 리서치 플랫폼 악용하는 경우가 많습니다.이 캠페인에서 다운로드된 설치 프로그램에는 시스템 정보를 수집하고 지속성을 위해 예약된 작업을 설정하는 악성 DLL이 포함되어 있습니다. 이는 방어 회피, 데이터 수집, 페이로드 전달 및 실행과 같은 다른 기법과 활동의 토대를 마련합니다.그림 1. Node.js를 활용한 악성 광고 캠페인 개요​초기 접근 및 지속성이 캠페인은 암호화폐 거래를 주제로 한 악성 광고를 사용하여 대상 사용자를 유인하여 바이낸스나 트레이딩뷰와 같은 암호화폐 거래 플랫폼의 합법적인 파일로 위장한 악성 설치 보안 리서치 플랫폼 프로그램을 웹사이트에 설치하도록 유도합니다. 이 설치 프로그램은 Wix 기반 패키지로, 악성 CustomActions.dll 파일을 포함하고 있습니다 . ​설치 프로그램이 실행되면 해당 DLL을 로드하고, WMI(Windows Management Instrumentation) 쿼리를 통해 기본 시스템 정보를 수집하고 PowerShell 명령의 지속성을 보장하기 위한 예약된 작업을 생성합니다. 동시에, 이 DLL은 합법적인 암호화폐 거래 웹사이트를 표시하는 msedge_proxy 창을 열어 악성 프로그램을 실행합니다.​방어 회피생성된 예약된 작업은 PowerShell 프로세스와 현재 디렉터리를 Microsoft Defender for Endpoint의 검사 대상에서 보안 리서치 플랫폼 제외하도록 설계된 PowerShell 명령을 실행합니다. 이 작업을 수행하면 이후 PowerShell 실행에 플래그가 지정되지 않아 공격이 방해받지 않고 계속될 수 있습니다.그림 2. 제외에 사용되는 명령줄​데이터 수집 및 유출제외 설정이 완료되면, 난독화된 PowerShell 명령이 예약된 작업을 통해 실행되어 원격 URL에서 스크립트를 지속적으로 가져와 실행합니다. 이러한 스크립트는 다음을 포함한 자세한 시스템 정보를 수집합니다.​Windows 정보: 등록된 소유자, 시스템 루트, 설치된 소프트웨어, 이메일 주소BIOS 정보: 제조사, 이름, 출시일, 버전시스템 정보: 이름, 보안 리서치 플랫폼 도메인, 제조업체, 모델, 도메인 멤버십, 메모리, 논리 프로세서, 그래픽 처리 장치(GPU), 프로세서, 네트워크 어댑터운영 체제 정보: 이름, 버전, 로케일, 사용자 액세스 제어(UAC) 설정, 국가, 언어, 시간대, 설치 날짜이 모든 정보는 중첩된 해시 테이블로 구조화되고 JSON 형식으로 변환된 다음 HTTP POST를 통해 공격자의 명령 및 제어(C2) 서버로 전송됩니다.그림 3. 데이터를 수집하고 추출하는 스크립트의 발췌 부분​​모의해킹, AWS 스킬을 학습할 수 있는 보안 · 네트워크 로드맵을 인프런에서 만나보세요.​