[보안뉴스 문정후 기자] 카주아(Kazuar)라는 백도어의 최신 버전이 나타났다. 이전 버전에 비해 탐지 회피 기능이 향상됐기 때문에 찾아내기가 까다로워졌다고 한다. 카주아는 마이크로소프트 닷넷(.NET)을 기반으로 한 프레임워크이며, 여태까지 주로 APT 단체들이 사용해온 것으로 알려져 있다. 2017년에 처음 세상에 공개됐다.
출처: https://m.boannews.com/html/detail.html?tab_type=1&idx=123409
업그레이드 되어 나타난 백도어 카주아, 소리 소문 없이 퍼지는 중
카주아(Kazuar)라는 백도어의 최신 버전이 나타났다. 이전 버전에 비해 탐지 회피 기능이 향상됐기 때문에 찾아내기가 까다로워졌다고 한다. 카주아는 마이크로소프트 닷넷(.NET)을 기반으로 한 프
m.boannews.com
https://www.darkreading.com/endpoint/upgraded-kazuar-backdoor-offers-stealthy-power
느낀 점: 카주아는 백도어이자 트로이목마이며, 2017년에 처음 공개된 이후 2020년에도 한 차레 발견되었었다고 한다. 카주아는 매우 유연한 고급 멀웨어로써, 각종 플러그인들을 피해자 컴퓨터에 로딩할 수 있고, 카주아의 기능을 자유롭게 확장시킬 수 있게 된다고 한다. 또한 이 카주아라고 하는 백도어는 선버스트라는 멀웨어와 비슷하다고 하며, 이 선버스트를 발견한 카스퍼스키 업체는 다음과 같은 특징들이 동시에 발견되었다고 한다.
1) 피해자 UID 생성 알고리즘 활용
2) 슬립 모드 알고리즘 활용
3) FNV-1a 해시의 적극적인 활용
4) C&C 서버와의 연결 시 일부러 시간을 지연시킴
이러한 것들을 보았을 때, 우리나라의 기업이나 조직들도 카주아라는 고급 멀웨어에 대해 분석하여, 불미스러운 일이 일어나지 않도록 하는 것이 좋을 것 같다고 생각한다. 또한 이전 버전에 비해 탐지 회피 기능이 향상되었다고 하니 악성코드 분석가들도 분석해보면 좋을 듯 하다.
'보안뉴스' 카테고리의 다른 글
北, 일반인 대상 가상자산 탈취 위한 악성 피싱 메일 유포... 그들의 수법은? (26-11 29주차) (0) | 2023.11.26 |
---|---|
하마스 운영 추정 아리드바이퍼 해킹그룹, 데이팅 앱 위장해 안드로이드폰 사용자 공격 (14-11 28주차) (0) | 2023.11.14 |
일본의 시계 제조사 세이코, 랜섬웨어 공격에 당해 주요 정보 유출 (31-10 26주차) (0) | 2023.10.31 |
아직 패치가 되지 않은 시스코 제로데이 취약점, 10점 만점에 10점 (23-10 25주차) (0) | 2023.10.23 |
기업 보유 데이터, 2년 후 2배로 증가…'보안' 고민도 동시 커져 (16-10 24주차) (1) | 2023.10.16 |