새로운 Python Backdoor, Tunneling Service를 사용해 Browser 및 Cloud Credentials 탈취

Source: The Hacker News

DEEP#DOOR 백도어 프레임워크

사이버 보안 연구원들은 DEEP#DOOR라는 은밀한 Python 기반 백도어 프레임워크의 세부 정보를 공개했으며, 이 프레임워크는 감염된 호스트에서 지속적인 접근을 확보하고 다양한 민감 정보를 수집할 수 있는 기능을 제공합니다.

침투 체인

침투 체인은 Windows 보안 제어를 비활성화하고, 내장된 페이로드를 동적으로 추출한 뒤, 주요 Python 백도어 구성 요소를 실행하는 배치 스크립트(install_obf.bat) 실행으로 시작됩니다.

기능

• 시스템에 지속: 예약 작업 및 레지스트리 실행 키를 생성하여 지속성을 확보합니다.
• 브라우저 자격 증명, 쿠키 및 저장된 비밀번호를 Chrome, Edge, Firefox에서 탈취합니다.
• 클라우드 서비스 토큰 및 API 키(예: AWS, Azure, GCP)를 수집합니다.
• 터널링 서비스를 활용해 외부 서버를 통해 트래픽을 라우팅함으로써 아웃바운드 방화벽 규칙을 우회합니다.
• 임의 명령 실행, 추가 모듈 다운로드 및 횡방향 이동을 수행합니다.

탐지 권고사항

백도어는 네트워크 트래픽을 난독화하기 위해 맞춤형 암호화 루틴을 사용하므로 전통적인 서명 기반 도구로 탐지하기 어렵습니다. 연구원들은 다음 항목을 모니터링할 것을 권고합니다:

• 의심스러운 예약 작업 생성 여부.
• 알려진 터널링 도메인으로의 비정상적인 아웃바운드 연결.
• 비정상적인 위치에 존재하는 install_obf.bat 스크립트.