보안

피싱 이메일로 위장한 악성코드 '볼드모트' 확산…기업 보안 위협 증가

René Resch | PCWorld 2024.09.04
사이버보안 업체 프루프포인트(Proofpoint) 연구진이 최근 피싱 이메일과 구글 스프레드시트로 위장해 보안 시스템을 우회하고 다양한 데이터에 액세스하는 새로운 악성코드인 ‘볼드모트’에 대해 경고했다.

볼드모트의 주요 표적은 주로 보험, 항공우주, 운송, 교육 분야 기업, 비즈니스, 단체다. 볼드모트 공격의 배후는 아직 밝혀지지 않았지만, 프루프포인트는 사이버 스파이 활동의 한 형태라고 생각한다.
 
ⓒ Getty Images Bank

볼드모트 공격은 미국, 유럽 또는 아시아의 기관에서 보낸 이메일이나 파일로 위장한다. 보고서에 따르면 공격자는 공개된 정보를 바탕으로 대상 기업의 위치와 일치하도록 피싱 이메일을 설계한다. 이메일에는 “업데이트된 세금 정보” 문서로 추정되는 링크가 포함되어 있다.
 

악성코드 링크를 클릭하면

볼드모트 캠페인은 2024년 8월 5일에 처음 시작됐다. 공격자는 이미 70개 이상의 표적 기업에 2만 개 이상의 이메일을 보냈다. 가장 많이 발송된 날에는 최대 6,000명의 피해 대상자에게 도달했다.

피해자가 이메일 안 링크를 클릭하면 PDF로 위장한 파일을 다운로드하도록 리디렉션되어 의심스럽지 않게 보이는 것이 볼드모트 공격의 특징이다. 볼드모트는 네트워크 트래픽으로 위장하고 구글 스프레드시트를 명령 및 제어 서버로 사용하며(C2 공격이라고도 함), 보안 시스템은 임베디드 액세스 데이터를 포함한 구글 API를 사용하기 때문에 악성코드 트래픽을 의심스러운 것으로 분류하지 않는다.

볼드모트는 주로 데이터를 훔치지만, 추가 악성코드 다운로드, 파일 삭제, 일시적 비활성화 등의 기능도 수행할 수 있다. 어떤 의미에서는 백도어 역할을 할 수 있으므로 감염된 시스템에 다방면으로 위협이 된다.
 

보호 방법

볼드모트 악성코드 공격에서 안전하려면, 외부 파일 공유 서비스에서 신뢰할 수 있는 서버로의 액세스를 제한하고, 꼭 필요하지 않다면 트라이클라우드플레어(TryCloudflare) 연결을 차단하고, 의심스러운 파워셸 실행을 주시해야 한다.

프루프포인트의 보고서 전문은 여기에서 확인할 수 있다.
editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.