안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
2020년 4월에 처음 등장한 Bazar 악성코드는 미국 및 유럽 전역의 전문 서비스, 의료, 제조, IT, 물류 및 여행 회사를 공격 대상으로 하고 있으며, 주로 피싱 이메일을 통하여 공격이 이루어지고 지속적으로 진화를 거듭해오고 있습니다.
Bazar로더는 Trickbot 로더와 마찬가지로 해킹된 유효한 디지털 인증서를 이용하여 탐지를 회피합니다. 그리고 Bazar 로더는 명령 및 제어를 위해 EmerDNS(.bazar) 블록체인 도메인(도메인 차단 방지용)을 사용하여 C2서버와 통신하며, 필요한 API 및 문자열 등이 난독화 되어 있어 자동 및 수동 분석을 방해하고 암호화된 백도어를 메모리에만 로드하여 실행합니다.
Bazar 악성코드는 탐지 회피 및 은폐에 중점을 두고 있으며 2020년 4월에 등장한 이후 계속적인 프로그램 업데이트가 이루어지고 있음이 확인되고 있어 앞으로도 큰 위협이 될 것임은 분명합니다.
따라서, 악성코드 감염을 방지하기 위해 출처가 불분명한 이메일의 첨부파일 혹은 URL 클릭을 삼가야하며, 백신의 최신화 및 정기적인 검사를 습관화하여야 합니다.
현재 알약에서는 해당 악성코드를 ‘Bazar loader’ 탐지 명으로 진단하고 있으며, 관련 상세 분석 보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.
ESRC 주간 Email 위협 통계 (8월 셋째주) (0) | 2021.08.24 |
---|---|
Trojan.Android.Banker 악성코드 분석 보고서 (0) | 2021.08.20 |
회계명세서, 견적문의 피싱 메일로 유포 중인 Lokibot 주의! (0) | 2021.08.18 |
ESRC 주간 Email 위협 통계 (8월 둘째주) (0) | 2021.08.17 |
"네이버 인증서"로 위장한 피싱 메일 유포 주의!! (0) | 2021.08.13 |
댓글 영역