최근에 발견된 웜인 LittleDrifter가 Gamaredon이라는 국가 후원의 스파이 그룹의 일환으로 USB 드라이브를 통해 여러 국가의 시스템을 감염시키고 있습니다. 이 웜은 미국, 우크라이나, 독일, 베트남, 폴란드, 칠레, 홍콩에서 감염 흔적을 발견했으며, 이는 위협 그룹이 LittleDrifter의 통제를 잃고 의도하지 않은 대상에 도달했음을 시사합니다. Check Point의 연구에 따르면, 이 맬웨어는 VBS로 작성되었으며 USB 드라이브를 통해 전파되도록 설계되었습니다.

LittleDrifter의 목적은 위협 그룹의 명령 및 제어(C2) 서버와의 통신을 확립하고 USB 드라이브를 통해 전파하는 것입니다. 이를 달성하기 위해 맬웨어는 두 개의 별도 모듈을 사용하며, 이들은 매우 난독화된 VBS 구성 요소인 trash.dll에 의해 실행됩니다. LittleDrifter와 그 모든 구성 요소는 사용자의 "즐겨찾기" 디렉토리에 위치하며, 예약된 작업과 레지스트리 키를 추가함으로써 지속성을 확립합니다.

Gamaredon은 IP 주소가 있는 C2 서버를 위한 자리 표시자로 도메인을 사용합니다. 이 관점에서 위협 그룹은 "상당히 독특한" 접근 방식을 가지고 있습니다. 맬웨어는 C2 서버에 연락을 시도하기 전에 임시 폴더에서 구성 파일을 찾습니다. 이러한 파일이 존재하지 않으면, LittleDrifter는 WMI 쿼리를 사용하여 Gamaredon의 도메인 중 하나를 핑합니다.

요약

- 최근에 발견된 웜인 LittleDrifter가 USB 드라이브를 통해 여러 국가의 시스템을 감염시키고 있다.
- LittleDrifter의 목적은 위협 그룹의 명령 및 제어(C2) 서버와의 통신을 확립하고 USB 드라이브를 통해 전파하는 것이다.
- Gamaredon은 IP 주소가 있는 C2 서버를 위한 자리 표시자로 도메인을 사용한다.

Reference

https://www.bleepingcomputer.com/news/security/gamaredons-littledrifter-usb-malware-spreads-beyond-ukraine/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*