볼드모트의 주요 표적은 주로 보험, 항공우주, 운송, 교육 분야 기업, 비즈니스, 단체다. 볼드모트 공격의 배후는 아직 밝혀지지 않았지만, 프루프포인트는 사이버 스파이 활동의 한 형태라고 생각한다.
볼드모트 공격은 미국, 유럽 또는 아시아의 기관에서 보낸 이메일이나 파일로 위장한다. 보고서에 따르면 공격자는 공개된 정보를 바탕으로 대상 기업의 위치와 일치하도록 피싱 이메일을 설계한다. 이메일에는 “업데이트된 세금 정보” 문서로 추정되는 링크가 포함되어 있다.
악성코드 링크를 클릭하면
볼드모트 캠페인은 2024년 8월 5일에 처음 시작됐다. 공격자는 이미 70개 이상의 표적 기업에 2만 개 이상의 이메일을 보냈다. 가장 많이 발송된 날에는 최대 6,000명의 피해 대상자에게 도달했다.피해자가 이메일 안 링크를 클릭하면 PDF로 위장한 파일을 다운로드하도록 리디렉션되어 의심스럽지 않게 보이는 것이 볼드모트 공격의 특징이다. 볼드모트는 네트워크 트래픽으로 위장하고 구글 스프레드시트를 명령 및 제어 서버로 사용하며(C2 공격이라고도 함), 보안 시스템은 임베디드 액세스 데이터를 포함한 구글 API를 사용하기 때문에 악성코드 트래픽을 의심스러운 것으로 분류하지 않는다.
볼드모트는 주로 데이터를 훔치지만, 추가 악성코드 다운로드, 파일 삭제, 일시적 비활성화 등의 기능도 수행할 수 있다. 어떤 의미에서는 백도어 역할을 할 수 있으므로 감염된 시스템에 다방면으로 위협이 된다.
보호 방법
볼드모트 악성코드 공격에서 안전하려면, 외부 파일 공유 서비스에서 신뢰할 수 있는 서버로의 액세스를 제한하고, 꼭 필요하지 않다면 트라이클라우드플레어(TryCloudflare) 연결을 차단하고, 의심스러운 파워셸 실행을 주시해야 한다.프루프포인트의 보고서 전문은 여기에서 확인할 수 있다.
editor@itworld.co.kr