Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Rust-based Buer Malware 변종이 발견되다
작성일 2021-05-04 조회 19

 

 

사이버 보안 연구원들은 Rust로 작성된 'Buer'라는 새로운 변종 맬웨어 로더를 배포하는 새로운 악성 스팸 캠페인을 공개했다. 이는 공격자가 분석을 회피하기 위해 맬웨어 도구 세트를 연마하는 방법을 보여준다.

 

'RustyBuer'로 불리는 이 맬웨어는 DHL 지원팀에서 발송 통지로 가장한 이메일을 통해 전파되었며, 4월 초부터 50개 이상의 업종에 걸쳐 200개 이상의 조직에 영향을 미친 것으로 알려졌다.

 

"새로운 Buer 변종은 점점 인기를 얻고 있는 효율적이고 사용하기 쉬운 프로그래밍 언어인 Rust로 작성되었다. Rust에서 맬웨어를 다시 작성하면 위협 행위자가 기존 Buer 탐지 기능을 더 잘 피할 수 있다." 라고 Proofpoint 연구원들은 말했다.

 

2019년 8월에 처음 소개된 Buer는 지하 포럼에서 판매되고 추가 페이로드를 제공하는 1단계 다운로더로 사용되는 모듈형 멀웨어 서비스(malware-as-a-service)로, 대상 Windows 시스템에 대한 초기 손상을 제공하고 공격자의 추가 악성 활동을 위한 "디지털 교두보"를 구축한다. 2019년 12월 Proofpoint 분석에서는 Buer는 .NET Core로 작성된 제어판을 사용하여 C로 코딩된 맬웨어로 분류되었다.

 

2020년 9월, Ryuk 랜섬웨어의 배후 운영자들이 스팸 캠페인의 일환으로 Buer 맬웨어 드롭퍼를 초기 액세스 벡터로 사용하는 것이 발견되었다. 그 후 2021년 2월에 발견된 피싱 공격은 사용자가 감염된 시스템에서 Buer 드롭퍼를 다운로드하여 실행하는 악의적인 매크로가 포함된 Excel 문서를 열도록 유인했다.

 

 

[그림1. Buer 로더 초기 POST 요청]

 

 

Buer 맬웨어 로더를 전달한 새로운 maldoc 캠페인은 DHL을 테마로 한 피싱 이메일을 사용하여 Buer 로더의 Rust 변종을 삭제하는 Word 또는 Excel 문서를 배포한다. C 프로그래밍 언어에서 "비정상적인" 변형은 Buer가 이제 C로 작성된 맬웨어의 특징을 기반으로 하는 탐지를 우회할 수 있음을 의미한다.

 

연구원들은 "재작성된 맬웨어와 보다 합법적으로 보이려는 새로운 시도는 RustyBuer를 활용하는 위협 행위자들이 탐지를 회피하고 성공적인 공격 성공률을 높이기 위해 여러 가지 방법으로 기술을 발전시키고 있음을 시사한다"고 말했다.

 

Buer가 Cobalt Strike 및 랜섬웨어 변종을 포함한 다른 종류의 맬웨어에 대한 첫번째 단계 로더 역할을 한다는 점을 감안할 때, Proofpoint 연구원들은 사이버 공격자가 로더를 사용하여 대상 네트워크에 대한 발판을 확보하고 다른 위협 행위자에게 접근 권한을 판매했을 것으로 추정한다.

 

 

 

출처

https://thehackernews.com/2021/05/a-new-buer-malware-variant-has-been.html

첨부파일 첨부파일이 없습니다.
태그 RustyBuer  Rust-based  Buer Malware