11,000개 이상의 호주 회사가 최근 Agent Tesla라고 불리는 오래되었지만 여전히 위험한 악성 코드 변종에 의존하는 일련의 사이버 공격의 표적이 되었습니다.
잠재적 피해자들은 악성 첨부 파일이 포함된 상품 구매 및 주문 배송 문의에 대한 미끼가 포함된 부비트랩 이메일로 공격을 받았습니다. 속아서 첨부 파일을 열게 된 피해자는 Windows PC를 Agent Tesla 감염에 노출시켰습니다.
테슬라 요원 Check Point Software의 연구원에 따르면 RAT(원격 액세스 트로이 목마)는 2014년에 처음 등장했습니다. 이 악성 코드는 사이버 범죄자와 스파이를 포함한 다양한 위협 행위자가 널리 배포하고 자주 사용하는 것으로 나타났습니다.
Check Point의 사이버 보안, 연구 및 혁신 관리자인 Alexander Chailytko는 위협 행위자들이 Agent Tesla의 능력에 대해 "신뢰 수준을 높였다"고 말했습니다.
Chailytko는 “데이터 유출 및 정보 도용을 위한 다양한 기능과 신뢰성이 결합되어 사이버 범죄자들이 선호하는 선택이 되었습니다.”라고 설명합니다.
이 악성코드는 브라우저에서 FTP 클라이언트에 이르기까지 가장 일반적으로 사용되는 소프트웨어를 대상으로 다양한 데이터 추출 방법과 도용 기능을 제공합니다. 악성 코드에 대한 최근 업데이트는 Telegram 및 Discord와 같은 플랫폼과 더욱 긴밀하게 통합되어 사기꾼이 해킹 캠페인을 더 쉽게 실행할 수 있게 해줍니다.
Agent Tesla는 작년에 사이버 범죄자들이 6살 마이크로소프트 오피스 Agent Tesla를 슬링하는 원격 실행 결함.
Agent Tesla Hack의 분석
Check Point의 보안 연구원들이 실시한 분석은 블로그 게시물 이번 주에는 현재까지 Agent Tesla 기반 피싱 캠페인의 방법론에 대한 가장 자세한 조사 중 하나가 제공되었습니다. 그들의 연구는 대부분 호주와 미국을 대상으로 2023년 XNUMX월에 시작된 대규모 일련의 공격에 대한 사후 분석을 제공합니다.
Check Point는 "Bignosa"라고 불리는 위협 행위자가 처음으로 호스팅 서버에 Plesk(호스팅용)와 Round Cube(이메일 클라이언트)를 설치했다고 밝혔습니다. 그런 다음 공격자는 악성 코드를 숨기고 전달을 제어하는 Cassandra Protector라는 패키지를 사용하여 Agent Tesla 페이로드를 위장했습니다.
Cassandra Protector는 사이버 범죄자가 실행 전에 절전 시간을 구성할 수 있도록 하는 다양한 옵션을 번들로 제공합니다. 다른 기능 중에서도 피해자가 악성 파일을 열 때 나타나는 가짜 대화 상자의 텍스트를 제어합니다.
Agent Tesla가 이러한 방식으로 "보호"되면 Bignosa는 악성 .NET 코드를 ".img" 확장자를 가진 ISO 파일로 변환한 후 결과 파일을 스팸 이메일에 첨부했습니다.
다음으로 Bignosa는 원격 액세스 네트워크 프로토콜 연결을 통해 새로 구성된 시스템에 연결하고 이메일 주소를 생성한 후 웹 메일에 로그인하고 미리 준비된 대상 목록을 사용하여 스팸 실행을 시작했습니다. Check Point에 따르면, 공격의 첫 번째 물결에서 "몇 가지 성공적인 감염"이 호주를 강타했습니다.
아래로
Agent Tesla 악성 코드 캠페인의 배후에 있는 위협 행위자는 주로 호주 기업을 표적으로 삼았습니다. 이는 해당 기업의 컴퓨터에 "AU B2B Lead.txt"라는 메일링 목록 파일이 있다는 사실에서 알 수 있습니다.
Check Point의 Chailytko는 “이는 잠재적으로 금융 이용을 위한 귀중한 정보를 추출하려는 목적으로 기업 네트워크에 침투할 목적으로 호주 기업과 연결된 이메일 주소를 수집하고 표적으로 삼으려는 의도적인 노력을 의미합니다.”라고 말했습니다.
Bignosa는 또한 호주와 미국 기반 기업을 해킹하기 위한 캠페인에서 "신"이라는 무례하게 부르는 또 다른 능숙한 사이버 범죄자와 협력했다고 연구원들은 밝혔습니다.
보안 연구원이 발견한 Jabber 채팅 로그에 따르면 Gods는 악성 스팸 텍스트 내용에 대해 Bignosa에게 조언을 제공했습니다.
다른 사이버범죄자들과 마찬가지로Check Point가 밝혀낸 증거에 따르면 두 사람은 사이버 범죄 캠페인의 요소로 어려움을 겪었습니다.
여러 경우에 Bignosa는 Agent Tesla 테스트 감염으로부터 자신의 컴퓨터를 치료할 수 없었기 때문에 불운한 해커는 도움을 위해 Gods의 원격 액세스를 요청해야 했습니다.
Check Point는 Bignosa가 케냐인이고 Gods가 웹 개발자로 하루 일을 하고 있는 나이지리아인이라고 믿는다고 말했습니다.
Agent Tesla 감염을 차단하는 방법
Check Point가 강조한 Agent Tesla 기반 스피어 피싱 캠페인은 성숙한 악성 코드가 여전히 만연한 위협을 강조합니다.
기업은 즉시 패치를 설치하고 기타 보안 조치를 활용하여 최신 운영 체제와 애플리케이션을 유지해야 합니다. Check Point에 따르면 상업용 스팸 필터링 및 차단 목록 도구는 사용자 받은 편지함에 나타나는 정크 트래픽의 양을 최소화하는 데 도움이 될 수 있습니다.
그럼에도 불구하고 최종 사용자는 특히 낯선 사람이 보낸 링크가 포함된 예상치 못한 이메일을 받을 때 주의를 기울여야 합니다. Check Point에 따르면 정규 직원 훈련 및 교육 프로그램이 사이버 보안 인식을 강화할 수 있는 곳입니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/remote-workforce/thousands-of-australian-businesses-targeted-with-agent-tesla-rat
