ClickCease 새로운 방법으로 미국 기업을 노리는 범블비 악성코드

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

새로운 방법으로 미국 기업을 노리는 범블비 악성코드

와자핫 라자

2024년 2월 27일 TuxCare 전문가 팀

A 최근 보고서 에 따르면 갑자기 사라진 지 4개월 만에 악명 높은 범블비 멀웨어 가 미국에 기반을 둔 여러 조직을 표적으로 삼아 다시 등장했습니다.

미국에 기반을 둔 여러 조직이 수천 개의 이메일을 받기 시작한 것이 관찰되었습니다. 범블비 멀웨어 수법 는 음성 메일을 테마로 한 이메일을 보내 사용자에게 OneDrive의 URL이 포함된 이메일을 보냅니다.

이 문서에서는 다음에 대한 모든 세부 정보를 다룹니다. 미국의 범블비 멀웨어 그리고 이 사이버 보안 위협이 사용하는 기술에 대해 자세히 설명합니다.

범블비 멀웨어의 배후에 있는 위협 행위자

범블비 멀웨어가 처음 주목받기 시작한 것은 2022년 3월에 처음 등장하여 로더로 급부상했습니다. 사이버 보안 전문가들은 범블비 멀웨어를 정확히 누가 개발했는지는 확실하지 않지만, 랜섬웨어 페이로드를 실행하는 데 사용되는 악명 높은 멀웨어의 배후에는 Conti 및 TrickBot 신디케이트가 있는 것으로 추정하고 있습니다.

이 멀웨어는 처음 발견된 이후, 종종 BazaLoader 및 IcedID와 연관된 사이버 보안 위협 행위자들에 의해 배포되었습니다. 여기서 중요한 점은 이 멀웨어에 관여한 사이버 보안 위협 행위자들이 악성 VBA 매크로를 를 사용했습니다.

범블비 멀웨어 공격 방법

이전 범블비 멀웨어 공격 기법웹 분산 저작 및 버전 관리(WebDAV) 서버를 활용했습니다. WebDAV는 사이버 위협 공격자들이 피해자의 시스템에 침입할 수 있는 스마트한 방법을 제공했습니다. 이전 캠페인은 이메일을 통해 사용자에게 압축 파일을 보냈습니다.

C++ 프로그래밍 언어로 작성된로 작성된 이 멀웨어는 실버, 셸코드, 코발트 스트라이크와 같은 추가 페이로드의 실행을 용이하게 합니다. 피카봇, Z로더, 칵봇이 다시 등장한 시기와 맞물리면서 범블비 멀웨어 공격 방법에는 OneDrive URL 링크가 포함된 이메일을 조직에 보내는 것이 포함됩니다.

이러한 이메일은 보통 음성 메일을 테마로 합니다. 이 URL은 매크로가 활성화된 Microsoft Word 문서로 사용자를 안내하며, 이 문서를 열면 VBA를 활용하여 PowerShell 명령이 실행됩니다. 그러면 원격 서버가 또 다른 PowerShell 스크립트를 시작하여 결국 악성 코드.

QakBot은 Microsoft 소프트웨어 설치 관리자(MSI) 파일로 배포됩니다. Windows.cab(캐비닛) 아카이브에 DLL이 있습니다. 이 DLL은 MSI 파일에 의해 셸코드를 사용하여 추출 및 실행됩니다. 

다가오는 위험

앞서 언급했듯이 이 멀웨어는 이전에 바자로더를 사용했던 것과 동일한 위협 행위자들이 사용하고 있습니다. 이는 이러한 사이버 보안 위협 행위자들이 멀웨어를 제공하는 공통 소스에 액세스할 수 있다는 것을 의미하므로 우려스러운 신호입니다.

결론

범블비 멀웨어의 재등장 범블비 멀웨어 미국의 조직을 공격하는조직을 공격하는 범블비 멀웨어의 재등장은 놀라운 신호입니다. 게다가 이 멀웨어는 고급 공격 방법을 사용하기 때문에 사이버 보안 전문가들도 탐지가 어렵습니다.

강력한 사이버 보안 조치를 배포해야 하는 강력한 사이버 보안 조치 강력한 사이버 보안 조치를 강력한 사이버 보안 조치를 배포해야 합니다. 제대로 대응하지 않으면 이 멀웨어의 존재로 인해 조직은 이 새로운 사이버 공격으로부터 결코 안전할 수 없습니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스테크레이더 프로.

요약
새로운 방법으로 미국 기업을 노리는 범블비 악성코드
기사 이름
새로운 방법으로 미국 기업을 노리는 범블비 악성코드
설명
악명 높은 범블비 멀웨어가 다시 미국 기업을 노리고 있습니다. 여기에서 새로운 범블 멀웨어 공격 방법에 대해 자세히 알아보세요!
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기