ClickCease 범블비 멀웨어 공격: WebDAV 위협 공개

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

범블비 멀웨어 공격: WebDAV 위협 공개

와자핫 라자

2023년 10월 3일 - TuxCare 전문가 팀

무서운 범블비 멀웨어 공격 사이버 보안 영역에서 사이버 보안 영역에서 강력하게 돌아와 조직의 디지털 보안에 대한 조직의 디지털 보안에 대한 주요 위협. 잠시 자취를 감췄던 이 악명 높은 로더가 개선된 전략으로 다시 등장했습니다, 사이버 보안 부문에 경종을 울리며 그리고 랜섬웨어 공격으로부터 랜섬웨어 공격으로부터 복구.

 

범블비의 전략 변화

 

인텔 471 멀웨어 인텔리전스에 따르면 범블비의 작동 모드가 최근 변경되었습니다. 정적 명령 및 제어 서버에 의존하는 대신, 이 멀웨어는 이제 도메인 생성 알고리즘(DGA)을 포함하여 탐지에 대한 저항력을 높였습니다..

 

현재 진행 중인 꿀벌의 진화

 

On 2023년 9월 1일아키텍처를 대폭 수정한 새로운 버전의 범블비 로더가 출시되었습니다.. 통신을 위해 웹소켓 프로토콜에서 독점적인 전송 제어 프로토콜(TCP)로 전환했습니다. 또한 도메인 생성 알고리즘(DGA)을 사용하여 '.life' 최상위 도메인(TLD)을 가진 100개의 새 도메인을 생성했습니다. 이러한 변경으로 정적 명령 및 제어 서비스에 대한 의존도를 줄이면서 복잡성을 높였습니다..

 

WebDAV 연결

 

On 9월 7일, 2023사이버 보안 전문가들이 새로운 범블비 활동의 물결을 발견했습니다. 웹 분산 저작 및 버전 관리(WebDAV) 서버를 활용하여. 위협 행위자들이 사용한 악성 스팸 이메일 을 전달 메커니즘으로 사용했습니다. 이러한 이메일에는 다음이 포함되었습니다. Windows 바로 가기(.LNK) 및 압축 아카이브(.ZIP) 파일 이 파일을 활성화하면 다음에서 멀웨어 다운로드가 시작됩니다. WebDAV 서버.

 

발견되지 않은 도메인

범블비 멀웨어의 표적 관찰된 WebDAV 캠페인에서 발견된 4개의 도메인을 대상으로 하며, 네 번째 도메인은 성공적으로 해결되어 연락을 취했습니다:

 

  1. 3V1N35I5KWX[DOT]LIFE
  2. cmid1s1zeiu[dot]life
  3. Itszko2ot5u[dot]life
  4. newdnq1xnl9[dot]life

범블비 로더의 이러한 진화는 우회 전략과 네트워크 복원력을 개선하기 위한 위협 공격자들의 조직적인 시도를 보여줍니다. 배포 기법으로 배포 기법으로 4shared의 WebDAV 서비스를 사용하면 새로운 공격 기법.

 

범블비 멀웨어 공격과 악명 상승

 

범블비는 로더로서 두각을 나타내며 빠르게 위협을 가하는 무기로 자리 잡았습니다. 공격자들이 선택하는 무기가 되었습니다. 코발트 스트라이크, 메타스플로잇, 슬리버와 같은 랜섬웨어 페이로드와의 관계는 범블비의 위력을 더욱 부각시킵니다.

범블비와 콘티 및 트릭봇 활동과 관련된 위협 행위자 간의 연결은 사이버 범죄의 세계에서 범블비가 전략적으로 중요하다는 것을 강조합니다. 한 위협 공격자는 범블비를 미국의 비즈니스 사용자를 대상으로 한 악성 광고 캠페인에 범블비를 사용하기도 했습니다.범블비가 사이버 범죄자들 사이에서 얼마나 매력적인지 알 수 있습니다.

 

WebDAV: 친숙하면서도 강력한 도구

 

이번 캠페인에서 위협 행위자들은 4shared WebDAV 서비스를 선호하는 배포 메커니즘으로 사용했습니다. 4shared는 파일 호스팅 서비스입니다. 로, 사용자가 웹 인터페이스를 통해 파일을 업로드하고 다운로드할 수 있으며, 범블비 멀웨어인 범블비 멀웨어 WebDAV 프로토콜을 사용합니다. 원격 파일 관리를 용이하게 하는 것으로 잘 알려진 WebDAV는 사이버 공격자들에게 편리한 진입점.

 

사기성 이메일 미끼

 

범블비 멀웨어 캠페인에서 범블비 멀웨어 캠페인에서 악의적인 공격자들은 스캔, 알림, 송장 등 다양한 문서로 위장한 기만적인 스팸 이메일을 사용했습니다. 관찰된 샘플의 대부분은 .LNK 파일로 유포되었습니다. 실행 시 이러한 .LNK 파일은 Windows 명령 프로세서를 트리거하여 미리 정의된 명령을 실행합니다..

첫 번째 명령은 특정 인증 자격 증명을 사용하여 네트워크 드라이브를 "https://webdav.4shared[dot]com"에 있는 WebDAV 폴더에 마운트하는 것이었습니다. 악의적인 공격자들은 스캔, 통지서, 청구서 등 다양한 문서로 위장한 허위 스팸 이메일을 사용했습니다. 범블비 멀웨어 조직. 이러한 이메일의 첨부 파일은 "scan-document_2023(383).lnk" 및 "invoice-07september_2023(231).lnk"와 같은 파일명으로 흥미를 끌었습니다.

 

공격 방법의 변화

 

범블비 멀웨어에 대한 종합적인 조사 범블비 멀웨어 공격을 종합적으로 조사한 결과 샘플 간에 명령 설정에 차이가 있는 것으로 나타났습니다. 네트워크 드라이브가 마운트된 후 샘플에 따라 다음 명령이 달라졌습니다. 일부 샘플은 "확장"을 사용하여 파일을 추출하는 반면, 다른 샘플은 "replace.exe"를 대체 옵션으로 사용했습니다. 이러한 파일을 실행하는 방법도 달랐는데, "wmic.exe", "conhost.exe", "schtasks" 등의 프로세스를 사용하기도 했습니다.

이러한 움직임은 다음과 같은 점에서 우려할 만한 일입니다. 범블비의 이전 개입을 고려할 때 범블비가 이전에 랜섬웨어 페이로드 배포에 관여한 적이 있기 때문에. 보다 효율적이고 파악하기 어려운 배포 방법의 채택과 DGA 사용으로 인해 범블비의 인프라를 매핑하고 도메인을 차단하며 활동을 방해하는 것이 점점 더 어려워지고 있습니다.

인텔 471은 이 캠페인과 관련된 알려진 악성 URL을 차단할 것을 권장합니다.을 차단하고 명령줄 이벤트 로그에서 비정상적인 활동이 있는지 면밀히 모니터링할 것을 권장합니다.

결론

 

범블비 바이러스가 진화하고 적응함에 따라 조직은 사이버 보안에 주의를 기울여야 합니다. 배포 방법으로 배포 방법으로 WebDAV 서버를 사용한다는 것은 포괄적인 보안 조치, 사전 위협 탐지 및 새로운 범블비 멀웨어 사이버 공격으로부터 보호하기 위한 지속적인 모니터링의 중요성을 강조합니다. 범블비 멀웨어 사이버 위협.

이 글의 출처에는 다음 기사가 포함됩니다. 삐걱거리는 컴퓨터GBHackers.

 

요약
범블비 멀웨어 공격: WebDAV 위협 공개
기사 이름
범블비 멀웨어 공격: WebDAV 위협 공개
설명
TuxCare는 조직이 엔터프라이즈 Linux 시스템에 대한 지원, 유지 보수 및 보안을 관리할 수 있도록 지원합니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기