상세 컨텐츠

본문 제목

여러 공격자가 사용하는 새로운 악성코드 로더인 Bumblebee 발견

국내외 보안동향

by 알약4 2022. 4. 29. 09:00

본문

Bumblebee, a new malware loader used by multiple crimeware threat actors

 

예전에 BazaLoader IcedID를 사용했던 공격자들이 새로운 로더인 Bumblebee를 사용하기 시작한 것으로 나타났습니다.

 

이 로더는 현재 개발 단계인 것으로 보이며, 2022 3월 처음으로 등장한 고도로 정교한 악성코드입니다.

 

Proofpoint의 연구원은 Bumblebee와 관련된 클러스터 최소 3개를 추적했습니다. 해당 캠페인은 지난 3Google Threat Analysis Group에서 자세히 설명한 Conti Diavol 랜섬웨어를 배포하는 캠페인과 겹치는 부분이 있었습니다.

 

Bumblebee는 가상화 방지 검사 및 일반적인 다운로더 기능을 고유하게 구현했으며 Cobalt Strike, shellcode, Sliver, Meterpreter를 드롭하는 것으로 나타났습니다.

 

ProofPoint는 관련하여 아래와 같이 밝혔습니다.

 

Bumblebee는 지속적으로 개발되고 있음이 분명한 정교한 악성코드 로더입니다. 이는 사이버 공격자들 다수가 이미 사용 중입니다.”

 

"이 악성코드의 등장 시점과 여러 공격자들이 사용하는 것으로 미루어 보아 Bumblebee BazaLoader를 직접적으로 대체하지는 않더라도 이를 선호하는 공격자가 사용하는 새로운 다기능 툴일 가능성이 높습니다."

 

Proofpoint에서 관찰한 공격은 DocuSign 관련 메시지를 사용하고, 수신자가 OneDrive에서 호스팅되는 악성 ISO 파일을 다운로드하도록 속이려 시도했습니다.

 

 

<이미지 출처: https://www.bitdefender.com/blog/labs/redline-stealer-resurfaces-in-fresh-rig-exploit-kit-campaign/>

 

 

공격자는 전문가가 관찰한 한 공격에서 "문서 검토"라는 하이퍼링크가 포함된 메시지를 전송했으며, 또 다른 공격에서는 Prometheus라는 트래픽 방향 시스템(TDS)를 통해 잠재적 피해자의 시간대 및 쿠키를 기반으로 다운로드를 필터링하는 URL이 포함된 HTML 첨부 파일을 활용했습니다.

 

또한 타깃 웹사이트의 연락처 양식을 악용하여 수신자에게 이미지의 저작권 침해를 주장하는 메시지를 전송했습니다. 해당 메시지에는 "DOCUMENT_STOLENIMAGES.LNK" "neqw.dll"이 포함된 ISO 파일 다운로드로 사용자를 안내하는 방문 페이지에 대한 링크가 포함되어 있습니다.

 

연구원들은 2022 4월 발생한 두 번째 캠페인에서 스레드 하이재킹 캠페인의 일부로 악성 압축 ISO 파일("doc_invoice_[number].zip")을 첨부한 기존의 무해한 이메일 대화에 대한 답장으로 보이는 이메일을 전달하는 것을 발견했습니다.

 

해당 로더에 대한 자세한 추가 기술 정보는 Proofpoint의 보고서에서 확인하실 수 있습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Trojan.Agent.Emipdiy’로 탐지 중입니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/130699/cyber-crime/new-bumblebee-loader.html

https://www.proofpoint.com/us/blog/threat-insight/bumblebee-is-still-transforming (IOC)

관련글 더보기

댓글 영역