ESET백신 이셋코리아

새소식

홈 > 새소식









 
작성일 : 21-07-09 14:33
ESET Research, 베네수엘라의 스파이 활동 Bandidos 발견
 글쓴이 : ESTC
조회 : 228  






사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 베네수엘라에서 새로운 스파이 활동 Bandidos를 발견했다고 밝히며 주의를 당부했습니다.

최신 버전의 Bandook은 기업 네트워크에서 중요한 문서와 자격 증명을 도용하고 악의적인 Chrome 확장을 생성하며 Rebrandly 및 Bitly와 같은 URL 단축기를 오용합니다.

ESET Research는 최근 오래된 크라임웨어 Bandook의 고급 버전을 사용하여 피해자를 염탐하는 새롭게 활성화된 캠페인을 발견했습니다. 진행 중인 캠페인은 스페인어를 사용하는 국가의 기업 네트워크를 대상으로 진행되며, ESET 원격 측정 결과 90%가 베네수엘라에서 감지됩니다. ESET 연구원들은 Bandook의 새로운 기능과 변화를 발견했습니다. ESET은 사용된 맬웨어와 대상 지역을 감안해 이 캠페인의 이름을 Bandidos로 지정했습니다.

ESET은 2021년에 베네수엘라에서 200개 이상의 맬웨어 드로퍼를 탐지했지만, 이 악성 캠페인의 대상이 되는 특정 카테고리는 식별할 수 없었습니다. 원격 측정 데이터에 따르면 공격 행위를 탐지하는 주요 관심사는 제조회사 및 건설, 의료, 소프트웨어 서비스, 소매업 등 베네수엘라의 기업 네트워크입니다. 맬웨어의 기능과 유출되는 정보의 종류를 볼 때, Bandidos의 주된 목적은 스파이인 것 같습니다.

잠재적 피해자는 PDF 첨부 파일이 포함된 악성 이메일을 받습니다. PDF 파일에는 압축된 아카이브를 다운로드할 수 있는 링크와 압축을 푸는 암호가 포함되어 있습니다. 아카이브 안에는 실행 파일이 있습니다. 이 파일은 Internet Explorer 프로세스에 Bandook을 주입하는 드롭퍼입니다. 공격자는 PDF 첨부 파일에 Rebrandly 또는 Bitly와 같은 URL 단축기를 사용합니다. 단축 URL은 맬웨어가 다운로드되는 Google Cloud 스토리지, SpiderOak 또는 pCloud와 같은 클라우드 저장소 서비스로 리디렉션됩니다. 드로퍼의 주요 목적은 페이로드를 디코딩, 해독 및 실행하고 손상된 시스템에서 맬웨어가 지속되는지 확인하는 것입니다.

Bandidos 캠페인을 조사한 ESET 연구원인 Fernando Tavella는, “특히 흥미로운 것은 ChromeInject 기능입니다. 공격자의 CnC(명령 및 제어) 서버와의 통신이 설정되면 페이로드는 악성 Chrome 확장을 생성하는 DLL 파일을 다운로드합니다. 악성 확장 프로그램은 피해자가 URL에 제출하는 자격 증명을 검색합니다. 이러한 자격 증명은 Chrome의 로컬 저장소에 저장됩니다."라고 언급했습니다.

Bandook은 오래된 원격 액세스 트로이 목마입니다. 2005년에 온라인으로 이용할 수 있다는 언급이 있지만, 조직화된 그룹에 의한 사용은 2016년까지 문서화되지 않았습니다. 2016년에는 유럽의 언론인과 반체제 인사들을 대상으로 한 것으로 알려졌습니다. 그리고 2018에는 교육기관, 변호사, 의료전문가와 같은 새로운 대상을 공격하기 위해 사용되었습니다. 마지막으로, 2020년에는 정부, 금융, IT, 에너지 등 다양한 부문에 대한 공격이 있었습니다.

"이전 보고서에서는 Bandook 개발자가 고용된 개발자일 수 있다고 언급했습니다. 이는 수년 동안 다양한 목표를 가진 다양한 캠페인을 고려할 때 의미가 있습니다. 그러나 2021년에는 단 한가지 캠페인만 진행 중이었는데, 바로 여기에서 문서화한 스페인어 사용 국가를 대상으로 한 캠페인이었습니다. 이 도구가 여전히 사이버 범죄자와 관련되었다는 것을 보여줍니다."라고 Tavella와 함께 분석을 담당한 ESET 연구원 Matiaas Poroli는 말합니다.


Bandidos 캠페인 공격 개요


Bandidos에 대한 자세한 기술 정보는 WeLiveSecurity의 블로그 게시물 "Bandidos at large: A spying campaign in Latin America"를 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우 하십시오.



ESET 소개
ESET®은 30여년 간 전세계 기업 및 개인 고객을 위한 업계 최고의 IT 보안 소프트웨어 및 서비스를 개발해 왔습니다. 엔드포인트 및 모바일 보안부터 암호화 및 2단계 인증에 이르는 솔루션을 통해, ESET의 고성능이면서도 사용이 간편한 제품은 개인 및 기업 고객에게 기술의 잠재력을 최대한 누릴 수 있는 심리적 여유를 제공합니다. ESET은 연중무휴 24/7 보호 및 모니터링하며 실시간으로 방어 기능을 업데이트하여 사용자의 안전을 유지하고 중단 없이 비즈니스를 운영되도록 합니다. 진화하는 위협에는 진화하는 IT 보안 회사가 필요합니다. 전 세계 13개 R&D 센터가 지원하는 ESET는 2003년 이후 100개의 Virus Bulletin VB100 상을 수상하는 최초의 IT 보안 회사입니다.

자세한 내용은 https://www.eset.com/ 을 방문하거나, Linkedin, FacebookTwitter 에서 ESET을 팔로우 하십시오.