Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

범블비

‘바자로더’ 가고 ‘범블비’ 왔다…새로운 악성코드 로더 주의보

일부 랜섬웨어 공격 집단의 초기 접근 조력자로 여겨지는 여러 위협 집단이 종전에 사용하던 1단계 악성코드 다운로더인 바자로더(BazaLoader), 아이스드아이디(IcedID) 대신 새로운 로더 ‘범블비(Bumblebee)’를 사용하고 있는 것으로 나타났다.   보안 업체 프루프포인트(Proofpoint) 연구팀에 따르면, 최소한 3곳의 랜섬웨어 공격 집단과 연관된 범블비 이메일 기반 배포 작전이 지난 3월 개시됐다. 코발트 스트라이크(Cobalt Striker), 실버(Silver), 미터프리터(Meterpreter)와 같은 침투 테스트 구성요소를 배포하는 데 사용됐다. 최근 몇 년간 공격자들은 수동 해킹이나 피해 네트워크를 통한 횡적 이동에 비슷한 종류의 공격 프레임워크와 이중 용도의 오픈소스 툴을 사용해왔다. 프루프포인트 연구팀은 보고서에서 “범블비는 정교한 다운로더다. 개발 극초기 단계임에도 불구하고 일반 다운로드 기능이 특별히 구현되어 있고 안티 가상화 검사 기능이 들어 있다. 위협 환경에서 범블비가 증가한 시기는 후속 해킹을 가능하게 하는 인기 페이로드 바자로더가 최근 프루프포인트 위협 데이터에서 사라진 시기와 일치한다”라고 말했다. 범블비 배포 방식 지금까지 범블비는 스피어 피싱 이메일을 통해 배포됐다. 온갖 미끼를 동원한 메시지를 사용해 피해자가 IOS 파일을 다운로드 후 실행하게 하면, 해당 파일에 심어진 범블비가 열리는 방식이다. IOS 파일은 광학 디스크의 파일 시스템 복사본을 디스크 이미지로 저장하기 위해 사용되지만 사실상 아카이브 형식이다.  지난 3월 TA579라는 위협 행위자의 소행으로 밝혀진 한 작전에서는 기업이 이용하는 온라인 문서 서명 서비스 도큐사인(DocuSign)의 알림으로 가장한 악의적인 이메일이 발송됐다. 메일에 포함된 ‘문서 검토(REVIEW THE DOCUMENT)’ 하이퍼링크를 클릭하면 마이크로소프트 원드라이브에서 압축 파일을 다운로드하게 된다. 이 압축 파일에는 ISO 파일이 들어 있었...

바자로더 아이스드아이디 범블비 2022.05.02

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.