ClickCease 법 집행 기관에 의해 폐쇄된 제네시스 해커 마켓플레이스

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈 소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

법 집행 기관에 의해 폐쇄된 제네시스 해커 마켓플레이스

by

2023년 4월 17일 TuxCare 홍보팀

악명 높은 해커 마켓플레이스인 Genesis가 17개국의 다국적 법 집행 기관에 의해 폐쇄되었습니다. 이 마켓플레이스는 DanaBot 인포스틸러 및 기타 멀웨어가 입수한 수백만 대의 피해자 PC에 대한 액세스 권한을 판매하고 있는 것으로 밝혀졌습니다.

이번 조치에 참여한 사이버 보안 업체인 트렐릭스(Trellix)는 제네시스의 스파이웨어가 브라우저 지문, 쿠키, 자동 완성 양식 데이터 및 기타 자격 증명에 대한 액세스를 제공한다는 사실을 발견했습니다.

암스테르담에 위치한 트렐릭스 고급 연구 센터의 위협 인텔리전스 책임자인 존 포커는 "제네시스 마켓의 혼란은 사이버 범죄와 싸우는 데 있어 민관 협력이 중요하다는 것을 증명하는 또 하나의 성공적인 사례입니다."라고 말합니다. 우리는 수년 동안 이 시장을 주시해 왔으며, 이 유명한 시장을 무너뜨리는 데 일조하게 되어 기쁘게 생각합니다."라고 말합니다.

법 집행 당국은 150만 개의 멀웨어 봇이 마켓플레이스에 연결되어 있다고 보고했지만, 트렐릭스는 전체 기록 데이터베이스가 아닌 광고 데이터에만 액세스할 수 있었기 때문에 45만 개의 봇만 추적할 수 있었습니다. 트렐릭스는 조사 대상 봇이 피해 워크스테이션에 실시간으로 연결되어 있으며 의도적으로 단계적으로 설계된 감염의 산물이라는 사실을 발견했습니다.

유로폴 문서에 따르면, 이 사이트의 봇당 가격은 도난당한 데이터의 양과 종류에 따라 0.70달러에서 수백 달러까지 다양했습니다.

전 세계적으로 진행된 이 작전은 FBI와 네덜란드 경찰이 지휘했으며, 네덜란드 헤이그에 위치한 유로폴 본부에 지휘본부가 설치되었습니다. 그 결과 119명의 체포, 208건의 가택 수색, 97건의 '노크 앤 토크' 조치가 이루어졌습니다. 미국 법무부에 따르면 '쿠키 몬스터 작전'으로 불리는 이 수사에는 45개 FBI 현장 사무소가 참여했습니다.

법 집행 기관에서 제공한 포렌식 타임스탬프를 기반으로 트렐릭스는 "setup.exe" 파일을 최초 감염 벡터로 확인했습니다. 이 파일은 사이버 보안 샌드박스를 우회하기 위한 방법인 널 패딩을 통해 크기가 440MB로 부풀려진(99.3%) 다단계 실행 파일이었습니다. 이 파일은 합법적인 이노 설치 파일로 밝혀졌으며, 제네시스가 악성 코드를 도입하기 위해 악용한 무해한 소프트웨어 설치 파일입니다.

둘째, 이 실행 파일은 대상 컴퓨터의 임시 폴더(%temp%에 위치)에 동적 링크 라이브러리(DLL) 파일인 "yvibiajwi.dll"을 배치합니다. 탐지를 피하기 위해 DLL은 악성 스크립트 바이너리 끝에서 150MB 버퍼를 해독하는 루틴을 수행하여 사용자의 Windows 시작 프로세스인 "explorer.exe"를 겨냥한 휴대용 실행 파일(PE)을 생성합니다.

공격의 세 번째 단계는 감염된 컴퓨터를 이용해 공격자의 명령 및 제어(C&C) 서버에 연결하고, 트렐릭스에 따르면 다나봇 제품군과 유사한 또 다른 멀웨어를 다운로드하는 것입니다.

이 글의 출처는 CSOOnline의 기사입니다.

요약
법 집행 기관에 의해 폐쇄된 제네시스 해커 마켓플레이스
기사 이름
법 집행 기관에 의해 폐쇄된 제네시스 해커 마켓플레이스
설명
악명 높은 해커 마켓플레이스 제네시스가 17개국의 다국적 법 집행 기관의 작전으로 무너졌습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare 게스트 작가 되기

메일

Linux 환경을 이해하도록
도와주세요!

오픈소스 현황에 대한 설문조사를 완료하면 최고 상금 500달러를 포함한 여러 가지 상품 중 하나를 받을 수 있습니다!

엔터프라이즈 Linux의 미래를 만들기 위해서는 여러분의 전문 지식이 필요합니다!