WordPress 사용자는 주의하세요: GootLoader가 악성 코드를 확산시키기 위해 글꼴 해킹을 사용하여 다시 공격합니다.
- Gootloader 악성코드는 9개월 만에 2025년 10월 말에 다시 등장하여 랜섬웨어 공격을 준비하는 데 사용되었습니다.
- 사용자 정의 웹 글꼴에 숨겨진 악성 JavaScript를 통해 전달되어 은밀한 원격 액세스 및 정찰이 가능합니다.
- Storm-0494 및 Vice Society와 연결됨; 어떤 경우에는 공격자가 1시간 이내에 도메인 컨트롤러에 도달했습니다.
9개월 간의 안식년 이후 Gootloader로 알려진 악성 코드가 실제로 다시 등장하여 랜섬웨어 감염의 발판으로 사용될 가능성이 있습니다.
사이버 보안 연구원인 Huntress의 보고서에 따르면 2025년 10월 27일부터 11월 초까지 ‘다중 감염’이 관찰되었습니다. 그 전에 Gootloader는 2025년 3월에 마지막으로 발견되었습니다.
새로운 캠페인에서 Gootloader는 Storm-0494로 알려진 그룹과 그 다운스트림 운영자인 Vanilla Tempest(일명 Vice Society)에 의해 악용되었을 가능성이 높습니다. 이 랜섬웨어 그룹은 2021년 중반에 처음으로 관찰되었으며 주로 교육 및 의료 부문을 표적으로 삼고 가끔 제조 분야에도 진출했습니다.
사용자 정의 글꼴로 악성코드 숨기기
연구원들은 Gootloader가 손상된 웹사이트에서 악성 JavaScript를 전달하는 데 사용되었다고 설명했습니다. 이 스크립트는 공격자에게 기업 Windows 시스템에 대한 원격 액세스를 제공하고 계정 탈취 또는 랜섬웨어 배포와 같은 후속 조치를 가능하게 하는 도구를 설치합니다.
Gootloader는 사용자 정의 웹 글꼴(WOFF2) 내에 악성 파일 이름과 다운로드 지침을 숨겼으므로 페이지는 브라우저에서 정상적으로 보이지만 원시 HTML에서는 횡설수설로 표시되었습니다. 피해자가 손상된 페이지를 열면 브라우저는 해당 글꼴을 사용하여 보이지 않거나 인코딩된 문자를 읽을 수 있는 문자로 바꾸고, 렌더링될 때만 실제 다운로드 링크와 파일 이름을 표시했습니다.
캠페인의 목표는 안정적인 초기 액세스를 확보하고 대상 네트워크를 신속하게 매핑 및 제어한 다음 랜섬웨어 운영자에게 액세스 권한을 넘겨주는 것입니다. 전체 프로세스는 주로 고가치 대상을 식별하고 권한 있는 계정을 생성하며 랜섬웨어에 대비하는 데 도움이 되는 자동화된 인식 및 원격 제어 도구를 통해 가능한 한 빨리 수행됩니다.
Huntress는 어떤 경우에는 공격자가 몇 시간 내에 도메인 컨트롤러에 도달했다고 덧붙였습니다. 초기 자동 정찰은 악성 JavaScript가 실행된 후 10~20분 후에 시작되는 경우가 많으며, 여러 사건에서 운영자는 17시간 만에 도메인 컨트롤러에 대한 액세스 권한을 얻었습니다. 적어도 하나의 환경에서는 한 시간 이내에 도메인 컨트롤러에 도달했습니다.
Gootloader를 방어하기 위해 Huntress는 웹 브라우저에서 예상치 못한 다운로드, 시작 위치에 대한 알 수 없는 바로가기, 브라우저에서 발생하는 갑작스러운 PowerShell 또는 스크립트 활동, 비정상적인 프록시와 같은 나가는 연결과 같은 초기 징후를 관찰할 것을 권고합니다.
도로 해커 뉴스
모든 주머니에 맞는 최고의 바이러스 백신
Google 뉴스에서 TechRadar 팔로우 나 우리를 즐겨찾는 소스로 추가하세요 귀하의 피드에서 전문가로부터 뉴스, 리뷰 및 의견을 받으십시오. 팔로우 버튼을 꼭 눌러주세요!
물론 당신도 할 수 있다 TikTok에서 TechRadar 팔로우 뉴스, 리뷰, 비디오 언박싱을 받고 정기적인 업데이트를 받기 위해 왓츠앱 ~도