ClickCease 칵봇 위협 행위자: 랜섬 나이트 및 렘코스의 RAT 공격

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

칵봇 위협 행위자: 랜섬 나이트 및 렘코스의 RAT 공격

와자핫 라자

2023년 10월 19일 TuxCare 전문가 팀

끊임없이 진화하는 사이버 위협 환경에서 익숙한 공격자가 다시 한 번 고개를 들고 있습니다. 오랜 역사를 자랑하는 유명한 멀웨어 및 봇넷 운영자인 QakBot이 일부 서버 인프라를 파괴한 글로벌 작전 이후에도 끈질긴 집요함을 과시하며 돌아왔습니다. 이러한 부활은 우려스러운 추세를 동반하고 있습니다: 바로 지난 8월부터 Remcos 원격 액세스 트로이목마(RAT)와 랜섬 나이트 랜섬웨어를 유포하고 있는 피싱 캠페인과 QakBot의 연관성입니다. 이 블로그에서는 최근 활동 QakBot 위협 행위자의 최근 활동과 이러한 악성 캠페인과의 연관성 및 사이버 보안 환경에 미칠 수 있는 잠재적 영향을 조명합니다.

 

칵봇 위협 행위자 복귀 공개


상당한 인프라 중단에도 불구하고 QakBot의 운영자는 수완이 뛰어난 것으로 나타났습니다. 그들은
피싱 활동에 적극적으로 참여하여 2023년 8월 초부터 피싱 공격에 적극적으로 참여해 왔으며, 그 정점은 랜섬 나이트 랜섬웨어 공격 (사이클롭스라고도 함) 및 Remcos RAT를 배포하면서 정점을 찍었습니다.

한 가지 주목할 점은 이번 단속이 QakBot의 명령 및 제어(C2) 서버에만 영향을 미쳤을 뿐 스팸 전송 인프라에는 영향을 미치지 않은 것으로 보인다는 점입니다. 최근 보고서에 따르면 최근 보고서에 따르면 이 같은 사실은 Cisco Talos의 사이버 보안 전문가인 길헤르메 베네레가 수행한 연구 결과에서 비롯되었습니다.


중간 정도의 자신감을 가진 제휴


사이버 보안 전문가들은 현재 진행 중인 이 캠페인을 QakBot 계열사와 연관 짓고 있습니다. 중요한 점은 위협 행위자가 인프라가 중단된 후에도 QakBot 멀웨어 로더를 계속 배포했다는 증거가 없다는 것입니다. 이는 공격자들의 전략적 목표와 더 새롭고 교활한 전술로 초점을 바꾼 것은 아닌지 의문을 불러일으킵니다.


칵봇 여정


강력한 보안 대응을 수립할 때
강력한 보안 대응을 수립할 때 공격에 대한 강력한 보안 대응을 수립할 때는 이러한 위협 행위자가 사용하는 진화하는 전술과 전략에 대한 최신 정보를 파악하는 것이 필수적입니다. QakBotQBot 및 Pinkslipbot이라고도 알려진 카크봇은 2007년에 Windows 기반 뱅킹 트로이 목마로 처음 등장했습니다. 시간이 지남에 따라 랜섬웨어를 포함한 새로운 페이로드를 전송하도록 진화했습니다. 그러나 2023년 8월 말, 덕 헌트(Duck Hunt)라고 불리는 작전 중에 이 전설적인 멀웨어 작전이 심각한 차질을 겪으면서 당국이 활동을 중단하고자 하는 의지가 드러났습니다.


최근 캠페인


사이버 보안 영역에서,
칵봇에 대한 사이버 위협 어트리뷰션 에 대한 사이버 위협 귀속은 전 세계 조직의 중요한 관심사가 되었습니다. 인프라가 다운되기 직전에 시작된 최신 활동의 물결은 일반적으로 악성 LNK 파일. 이 파일은 피싱 이메일을 통해 자주 전송됩니다. 이 파일이 활성화되면 감염 프로세스가 시작되고 랜섬 나이트 랜섬웨어가 배포됩니다. 랜섬 나이트는 최근 사이버 위협의 진화를 강조하기 위해 서비스형 랜섬웨어(RaaS)인 사이클롭스 랜섬웨어의 이름을 변경한 것입니다.

QakBot과 연결된 렘코스의 RAT 사이버 공격은 랜섬 나이트 외에도과 랜섬 나이트와 연계된 렘코스의 사이버 공격이 이 캠페인의 핵심 요소로 자리 잡았습니다. LNK 파일이 포함된 ZIP 폴더에는 Excel 애드인(.XLL) 파일이 포함되어 있는 것으로 밝혀졌습니다. 이러한 파일은 위협 공격자가 손상된 엔드포인트에 지속적으로 백도어에 액세스할 수 있도록 하는 Remcos RAT를 유포하는 데 사용됩니다. Remcos RAT의 사용은 이 캠페인의 복잡성을 강조합니다.

이탈리아어로 작성된 파일 이름을 사용하는 것은 이 전략의 특이한 구성 요소입니다. 이는 위협 공격자가 이탈리아어를 사용하는 지역의 사용자를 표적으로 삼고 있음을 나타냅니다. 이러한 표적의 특이성은 기회주의적 공격 이상의 전략적 의도가 있음을 의미합니다.


QakBot 멀웨어 그룹 조사

 

인프라 문제에도 불구하고 전문가들은 QakBot을 간과해서는 안 된다고 경고합니다. "위협 행위자가 인프라 중단 이후 QakBot을 유포하는 것을 목격하지는 못했지만, 이 멀웨어는 앞으로도 계속해서 심각한 위협이 될 것으로 보입니다."라고 말합니다. Cisco Talos의 길에르메 베네레는 이렇게 말합니다. "공격자들이 여전히 활동 중이라는 점을 고려할 때, 이들은 차단 전 활동을 완전히 복원하기 위해 칵봇 인프라를 재구축하기로 결정할 수 있습니다." 이는 진화하는 위협에 맞서 경계를 늦추지 않는 것이 중요하다는 점을 강조합니다.


무기고 확장


놀랍게도 이러한 공격 주기는 랜섬 나이트와 렘코스랫의 배포로 끝나지 않습니다. 다크게이트, 메타스틸러, 레드라인 스틸러와 같은 다른 멀웨어도 동일한 인프라를 사용하여 배포되었습니다. 이 활동의 범위를 정확히 파악하기는 어렵지만 QakBot의 배포 네트워크는 지속적으로 그 가치를 입증해 왔습니다. 이탈리아뿐만 아니라 독일과 기타 영어권 국가에서도 피해자를 노렸으며, 이는 이 캠페인의 글로벌 영향력을 보여줍니다.


결론


이러한
칵봇 공격자들의 랜섬웨어 캠페인의 랜섬웨어 캠페인과 랜섬 나이트 및 렘코스랫의 확산과의 연관성은 조직과 개인이 직면한 위험이 끊임없이 변화하고 있음을 일깨워줍니다. 칵봇의 인프라가 법 집행 기관의 표적이 되었음에도 불구하고 칵봇의 위협 행위자들은 여전히 활발하고 유연하게 활동하고 있습니다.

공격자의 전략과 목표가 진화함에 따라 사이버 보안 전문가와 조직은 경계를 늦추지 말고 방어를 강화하여 이러한 위협과 기타 새로운 위협에 대응해야 합니다. 한 발 앞서 나가기 지속적으로 진화하는 디지털 세상에서 위협에 한발 앞서 대응하는 것은 안전한 온라인 환경을 유지하는 데 매우 중요합니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스SC 미디어.

 

요약
칵봇 위협 행위자: 랜섬 나이트 및 렘코스의 RAT 공격
기사 이름
칵봇 위협 행위자: 랜섬 나이트 및 렘코스의 RAT 공격
설명
랜섬 나이트 및 렘코스랫 공격과 연관된 칵봇 위협 행위자에 대한 최신 정보를 확인하세요. 최신 정보를 얻고 보호하려면 자세히 알아보세요!
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기