Black Basta 랜섬웨어 그룹과 관련이 있다고 주장하는 진행 중인 소셜 엔지니어링 캠페인이 신원 정보를 도용하고 SystemBC라는 맬웨어 드로퍼를 배포하는 것을 목표로 한 “여러 번의 침입 시도”와 관련이 있는 것으로 밝혀졌습니다.
Rapid7은 “위협 행위자들이 사용하는 초기 미끼는 여전히 동일합니다. 이메일 폭탄을 보낸 다음 영향을 받은 사용자에게 전화를 걸어 가짜 솔루션을 제공하려고 시도하는 것입니다.”라고 말하며 “외부 전화는 일반적으로 Microsoft Teams를 통해 영향을 받은 사용자에게 이루어졌습니다.”라고 덧붙였습니다.
이후 공격 체인은 사용자에게 AnyDesk라는 합법적인 원격 액세스 소프트웨어를 다운로드하고 설치하도록 설득합니다. 이 소프트웨어는 후속 페이로드를 배포하고 민감한 데이터를 빼내기 위한 채널 역할을 합니다.
여기에는 “AntiSpam.exe”라는 실행 파일이 사용되는데, 이는 이메일 스팸 필터를 다운로드하는 것처럼 보이고 사용자에게 업데이트를 완료하려면 Windows 자격 증명을 입력하라고 촉구합니다.
이 단계에는 여러 바이너리, DLL 파일, PowerShell 스크립트가 실행되는 과정이 뒤따릅니다. 여기에는 원격 서버, SOCKS 프록시, SystemBC와의 연결을 설정하는 Golang 기반 HTTP 비콘이 포함됩니다.
위협으로 인한 위험을 완화하려면 승인되지 않은 원격 데스크톱 솔루션을 모두 차단하고 내부 IT 직원에게서 온 것으로 가장한 의심스러운 전화와 문자 메시지를 주의 깊게 살피는 것이 좋습니다.
ReliaQuest의 데이터에 따르면, SocGholish(일명 FakeUpdates), GootLoader, Raspberry Robin이 2024년에 가장 흔하게 관찰되는 로더 변종으로 부상하면서 랜섬웨어의 발판이 되는 것으로 밝혀졌습니다.
사이버 보안 회사는 “GootLoader는 올해 상위 3개 목록에 새로 포함되었으며, 활동이 감소하면서 QakBot을 대체했습니다.”라고 밝혔습니다.
“맬웨어 로더는 XSS 및 Exploit과 같은 다크 웹 사이버범죄 포럼에서 자주 광고되며, 네트워크 침입 및 페이로드 전달을 용이하게 하려는 사이버범죄자에게 마케팅됩니다. 이러한 로더는 종종 구독 모델을 통해 제공되며, 월별 요금을 내면 정기 업데이트, 지원 및 감지를 회피하도록 설계된 새로운 기능에 액세스할 수 있습니다.”
이러한 구독 기반 접근 방식의 한 가지 장점은 기술 전문성이 제한적인 위협 행위자도 정교한 공격을 감행할 수 있다는 것입니다.
피싱 공격은 또한 Ande Loader라는 또 다른 로더를 통해 다계층 배포 메커니즘의 일부로 0bj3ctivity Stealer라는 정보 도용 맬웨어를 전달하는 것으로 관찰되었습니다.
eSentire는 “난독화 및 암호화된 스크립트, 메모리 주입 기술을 통한 맬웨어 배포와 디버깅 방지 및 문자열 난독화와 같은 기능을 갖춘 Ande Loader의 지속적인 향상은 고급 탐지 메커니즘과 지속적인 연구의 필요성을 강조합니다.”라고 밝혔습니다.
이러한 캠페인은 최근 몇 주 동안 발견된 피싱 및 소셜 엔지니어링 공격의 최신 사례일 뿐이며 위협 행위자들은 악의적인 목적으로 가짜 QR 코드를 점점 더 무기화하고 있습니다.
- Google Chrome 업데이트를 다운로드한다는 명목으로 손상된 웹 페이지를 활용해 .NET 맬웨어를 퍼뜨리는 ClearFake 캠페인
- HSBC, Santander, Virgin Money 및 Wise로 위장한 가짜 웹사이트를 사용하여 Windows 및 macOS 사용자에게 AnyDesk 원격 모니터링 및 관리(RMM) 소프트웨어 사본을 제공한 다음 이를 사용하여 중요한 데이터를 훔치는 캠페인
- GitHub에 호스팅된 랜섬웨어, 암호화폐 채굴기, Kematian Stealer라는 정보 도용기를 배포하는 데 사용되는 WinRAR을 배포하는 것으로 보이는 가짜 웹사이트(“win-rar(.)co”)
- 유료 광고를 통해 합법적인 것처럼 보이는 인공 지능(AI) 사진 편집기 웹사이트를 홍보하기 위해 Facebook 페이지를 하이재킹하는 소셜 미디어 악성 광고 캠페인으로, 피해자가 ITarian의 RMM 도구를 다운로드하여 Lumma Stealer를 배포하도록 유도합니다.
Trend Micro 연구원들은 “악의적인 활동을 위해 소셜 미디어 사용자를 표적으로 삼는다는 사실은 계정 자격 증명을 보호하고 무단 액세스를 방지하기 위한 강력한 보안 조치의 중요성을 강조합니다.”라고 말했습니다.
