사이버보안 연구원들은 2024년 5월 폴란드에서 중소기업(SMB)을 타깃으로 한 광범위한 피싱 캠페인에 대해 자세히 설명했으며, 이로 인해 Agent Tesla, Formbook, Remcos RAT와 같은 여러 맬웨어 계열이 배포되었습니다.
사이버 보안 회사 ESET에 따르면, 이러한 캠페인의 타깃이 된 다른 지역으로는 이탈리아와 루마니아가 있습니다.
ESET 연구원 Jakub Kaloč는 오늘 발행된 보고서에서 “공격자는 이전에 침해된 이메일 계정과 회사 서버를 이용해 악성 이메일을 퍼뜨릴 뿐만 아니라 맬웨어를 호스팅하고 도난당한 데이터를 수집했습니다.”라고 밝혔습니다.
9개의 파동에 걸쳐 진행된 이러한 캠페인은 최종 페이로드를 전달하기 위해 DBatLoader(일명 ModiLoader 및 NatsoLoader)라는 맬웨어 로더를 사용한 것이 특징입니다.
슬로바키아 사이버 보안 회사는 이번 공격이 2023년 하반기에 관찰된 이전 공격과는 다르다고 밝혔습니다. 이전 공격은 AceCryptor라는 암호화 서비스(CaaS)를 활용해 Remcos RAT(일명 Rescoms)를 확산시켰습니다.
ESET은 2024년 3월에 “2023년 하반기에 Rescoms가 AceCryptor에 의해 패킹된 가장 흔한 맬웨어 패밀리가 되었습니다.”라고 언급했습니다. “이러한 시도의 절반 이상이 폴란드에서 발생했고, 그 다음으로 세르비아, 스페인, 불가리아, 슬로바키아가 뒤를 이었습니다.”
공격의 시작은 악성 프로그램이 포함된 RAR 또는 ISO 첨부 파일이 포함된 피싱 이메일이었는데, 이 첨부 파일을 열면 여러 단계로 구성된 프로세스가 활성화되어 트로이 목마가 다운로드되고 실행됩니다.
ISO 파일이 첨부된 경우 DBatLoader가 직접 실행됩니다. 반면 RAR 아카이브에는 PEM 인코딩된 인증서 해지 목록으로 위장된 Base64 인코딩된 ModiLoader 실행 파일을 포함한 난독화된 Windows 배치 스크립트가 포함되어 있습니다.
Delphi 기반 다운로더인 DBatLoader는 주로 Microsoft OneDrive나 합법적인 회사의 손상된 서버에서 다음 단계의 맬웨어를 다운로드하여 실행하도록 설계되었습니다.
어떤 맬웨어가 배포되든 Agent Tesla, Formbook, Remcos RAT는 민감한 정보를 빼내는 기능을 갖추고 있어 위협 행위자들이 “다음 캠페인을 위한 토대를 마련”할 수 있습니다.
카스퍼스키는 중소기업이 강력한 사이버 보안 대책이 부족하고 리소스와 전문 지식이 제한적이기 때문에 사이버 범죄자들의 표적이 되는 경우가 점차 늘어나고 있다는 사실을 밝혔습니다.
“트로이 목마 공격은 여전히 가장 흔한 사이버 위협으로, 이는 공격자들이 계속해서 SMB를 표적으로 삼고 원치 않는 소프트웨어보다 맬웨어를 선호한다는 것을 보여줍니다.” 러시아 보안 공급업체가 지난달 밝혔습니다.
“트로이 목마는 합법적인 소프트웨어를 모방하기 때문에 특히 위험하며, 이로 인해 탐지 및 예방이 더 어렵습니다. 다재다능하고 기존 보안 조치를 우회할 수 있는 능력으로 인해 사이버 공격자에게 널리 퍼져 있고 효과적인 도구가 되었습니다.”
