Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향IcedID 멀웨어, 기업 연락 양식으로 퍼진다
작성일 2021-04-12 조회 51

 

 

기업 연락 양식을 사용하여 기업 대상을 소송으로 위협하는 피싱 이메일을 보내고 IcedID 정보 도용 악성 코드로 감염 시도를 하는 새로운 방식이 공개되었다.

 

IcedID는 2017년에 처음 발견되었으며 Trickbot, Qakbot 및 Ryuk 랜섬웨어를 포함한 2단계 악성 코드 페이로드를 배포하도록 업데이트된 모듈식 뱅킹 트로이 목마이다.

 

공격자는 이를 사용하여 장치를 감염시킨 후 추가 모듈을 다운로드하고 자격 증명 및 금융 정보를 훔친 뒤,  피해자의 네트워크를 통해 더 많은 컴퓨터를 손상시키고 더 많은 페이로드를 배포할 수 있다.

 

최근에 Microsoft 365 Defender 위협 인텔리전스 팀에 의해 탐지된 이 피싱 캠페인은 많은 양의 피싱 메시지를 보대기 위해 연락 양식의 CAPTCHA 보호를 우회하는 방법을 찾은 것으로 보인다.

 

Microsoft 위협 인텔리전스 분석가 Emily Hacker와 Justin Carroll은 "이는 공격자가 보안 문자 보호를 우회하면서 이 프로세스를 자동화하는 도구를 사용했을 수 있음을 나타냅니다."라고 말했다.

 

이 피싱 방법을 사용하여 공격자는 대상 기업의 보안 이메일 게이트웨이를 우회하여 피싱 메시지가 플래그 지정되어 스팸 폴더로 전송되는 대신 대상의 받은 편지함에 도착할 가능성을 크게 높인다.

 

 

 

[그림1. 피싱 메일]

 

 

공격의 효율성을 더욱 높이기 위해 위협 행위자는 저작권 침해에 대한 법적 조치로 대상을 위협하여 IcedID 페이로드로 연결되는 내장 링크를 클릭하도록 압박한다.

 

피해자는 공격자의 피싱 메일을 검토하기 위해 첨부된 링크를 클릭하라는 지시를 받지만 이는 대신 IcedID 악성 코드를 전달하는 데 사용되는 Google 사이트 호스팅 웹 사이트로 리디렉션한다.

 

그런 다음 피해자는 콘텐츠를 보기 위해 Google 계정을 사용하여 로그인하라는 요청을 받는다.

 

로그인 후 심하게 난독화된 .js 기반 다운로더가 포함된 아카이브가 컴퓨터에 다운로드된다.

 

또한 IcedID 페이로드와 Cobalt Strike 비콘은 WScript 및 Powershell을 이용하여 손상된 장치에 다운로드된다.

 

 

 

[그림2. 공격 흐름도]

 

 

마이크로 소프트 분석가들은 "이 특정 캠페인은 IcedID 악성 코드를 전달하지만 전달 방법을 사용하여 광범위한 기타 악성 코드를 배포할 수 있으며, 이는 기업에 다른 위협이 될 수 있습니다."라고 말했다.

 

"이 위협은 공격자가 네트워크에 침투하기 위해 항상 공격 경로를 찾고 있음을 보여 주며 종종 인터넷에 노출된 서비스를 표적으로 삼습니다. 기업은 이러한 위협에 대한 보호조치를 확보해야합니다."라고 덧붙였다.

 

Cisco Talos 연구원은 2020년 9월에 Gozi ISFB, ZLoader, SmokeLoader 및 AveMaria를 포함한 다양한 악성 코드 페이로드를 배포하기 위해 연락 양식을 사용하여 피싱 이메일을 보내는 유사한 캠페인을 발견했다.

 

Awake Security 및 Uptycs의 연구에 따르면 1월에 Emotet의 네트워크가 중단된 후 IcedID 악성 활동이 천천히 증가한 것을 확인할 수 있다.

 

 

 

출처

https://www.bleepingcomputer.com/news/security/attackers-deliver-legal-threats-icedid-malware-via-contact-forms/

첨부파일 첨부파일이 없습니다.
태그 IcedID