상세 컨텐츠

본문 제목

피싱 이메일을 통한 새로운 랜섬웨어 캠페인으로 돌아온 봇넷 발견

국내외 보안동향

by 알약(Alyac) 2020. 7. 14. 09:51

본문

This botnet has surged back into action spreading a new ransomware campaign via phishing emails


지난 한 달 동안 악명 높은 봇넷 캠페인의 활동이 급격히 증가했습니다. 


사이버 범죄자들은 이 캠페인을 통해 다른 악성코드와 함께 랜섬웨어 캠페인을 배포하고 있는 것으로 나타났습니다.


Check Point의 연구원들은 2020년 6월 Most Wanted Malware 보고서를 통해 Phorpiex 봇넷을 이용한 공격이 급격히 증가한 것을 확인했다고 밝혔습니다.


Phorpiex는 악성코드 다수와 대규모 섹스토션 이메일 캠페인을 포함한 스팸 캠페인을 배포하는 것으로 알려져 있습니다. 


하지만 지난 5월과 비교했을 때 6월 한 달간 탐지 수가 크게 증가했습니다.


Phorpiex는 6월 동안 가장 많이 탐지된 악성코드 캠페인 2위를 차지했으며 지난 5월에는 13위에 그쳤습니다. 


공격 시도 횟수는 너무 높아져 조직의 2% 정도가 이 봇넷의 타깃이 되었습니다.


이 봇넷은 피해자들에게 악성 페이로드를 전달하기 위한 스팸 이메일을 보냅니다. 지난 한 달 동안이 봇넷은 Avaddon 랜섬웨어 캠페인을 운영하는데 사용되었습니다.


이 특정 랜섬웨어 패밀리는 6월에만 나타났으며, Phorpeix는 피해자가 제목에 윙크 이모티콘을 사용한 피싱 메일에 첨부된 Zip 파일을 오픈하도록 속입니다. 


사이버 공격의 기본적인 전략으로 보이지만, 그만큼 효과가 있기 때문에 공격자들이 흔히 사용하는 것으로 추측됩니다.


Trik으로도 알려진 Phorpiex는 GandCrab 및 Pony 등 다른 랜섬웨어를 위한 스팸 캠페인을 배포하고 감염된 기기에서 가상화폐를 채굴하기 위해 사용되어 왔습니다.


“조직에서는 직원들에게 윙크 이모티콘을 포함한 이메일로 사용자를 노리는 최근 캠페인에 대해 알리고 네트워크가 공격받는 것을 예방하기 위한 보안 조치를 취하도록 교육을 실시해야 합니다.”


또한 6월 동안 가장 많이 탐지된 악성코드는 조직 3%를 노린 것으로 탐지된 원격 접속 트로이목마인 Agent Tesla였습니다.


Agent Tesla는 인포 스틸러이자 키로거로 공격자가 감염된 컴퓨터에서 계정명, 패스워드, 브라우저 히스토리, 시스템 정보 등 네트워크를 해킹하는데 필요한 모든 것을 볼 수 있도록 합니다.


또한 오픈소스 가상화폐 마이닝 악성코드인 XMRig가 6월 동안 가장 많이 탐지된 악성코드 3위를 차지했습니다. 


이 악성코드는 기기를 감염시켜 모네로를 채굴하기 위해 CPU 성능을 사용하며 2017년 5월부터 활동해 왔습니다.


나머지 10위 안에 포함된 악성코드는 Dridex, Trickbot, Ramnit, Emotet 등 꽤 친숙한 것들이 차지했습니다. 


이들은 오랜 시간 동안 정보를 훔치거나 더욱 파괴적인 캠페인을 위한 발판 역할을 해왔습니다. 예를 들면 Trickbot과 Emotet은 대규모 랜섬웨어 공격의 첫 단계로 자주 사용됩니다.


많은 악성코드가 이미 알려진 익스플로잇과 취약점을 악용하고 있기 때문에 지난 몇 년 간 공개된 보안 패치를 적용하는 것 만으로 공격을 예방할 수 있습니다.





출처:

https://www.zdnet.com/article/this-botnet-has-surged-back-into-action-spreading-a-new-ransomware-campaign-via-phishing-emails/

https://blog.checkpoint.com/2020/07/10/junes-most-wanted-malware-notorious-phorpiex-botnet-rises-again-doubling-its-global-impact-on-organizations/

관련글 더보기

댓글 영역