상세 컨텐츠
본문
안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.
2020년 4월에 처음 등장한 Bazar 악성코드는 미국 및 유럽 전역의 전문 서비스, 의료, 제조, IT, 물류 및 여행 회사를 공격 대상으로 하고 있으며, 주로 피싱 이메일을 통하여 공격이 이루어지고 지속적으로 진화를 거듭해오고 있습니다.
Bazar로더는 Trickbot 로더와 마찬가지로 해킹된 유효한 디지털 인증서를 이용하여 탐지를 회피합니다. 그리고 Bazar 로더는 명령 및 제어를 위해 EmerDNS(.bazar) 블록체인 도메인(도메인 차단 방지용)을 사용하여 C2서버와 통신하며, 필요한 API 및 문자열 등이 난독화 되어 있어 자동 및 수동 분석을 방해하고 암호화된 백도어를 메모리에만 로드하여 실행합니다.
Bazar 악성코드는 탐지 회피 및 은폐에 중점을 두고 있으며 2020년 4월에 등장한 이후 계속적인 프로그램 업데이트가 이루어지고 있음이 확인되고 있어 앞으로도 큰 위협이 될 것임은 분명합니다.
따라서, 악성코드 감염을 방지하기 위해 출처가 불분명한 이메일의 첨부파일 혹은 URL 클릭을 삼가야하며, 백신의 최신화 및 정기적인 검사를 습관화하여야 합니다.
현재 알약에서는 해당 악성코드를 ‘Bazar loader’ 탐지 명으로 진단하고 있으며, 관련 상세 분석 보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.
'악성코드 분석 리포트' 카테고리의 다른 글
| ESRC 주간 Email 위협 통계 (8월 셋째주) (0) | 2021.08.24 |
|---|---|
| Trojan.Android.Banker 악성코드 분석 보고서 (0) | 2021.08.20 |
| 회계명세서, 견적문의 피싱 메일로 유포 중인 Lokibot 주의! (0) | 2021.08.18 |
| ESRC 주간 Email 위협 통계 (8월 둘째주) (0) | 2021.08.17 |
| "네이버 인증서"로 위장한 피싱 메일 유포 주의!! (0) | 2021.08.13 |
댓글 영역