상세 컨텐츠

본문 제목

[Trojan.Agent.Amadey] 악성코드 분석 보고서

악성코드 분석 리포트

by 알약5 2023. 3. 23. 14:53

본문

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

국내에서 작년 10월 경 LockBit 랜섬웨어를 유포하는 것으로 알려진 공격 그룹이 Amadey Bot를 활용한 정황이 확인되었고, 모듈을 통해서 정보 탈취 등의 기능을 수행하는 것으로 알려져 있습니다. 또한 최근에도 외국에서 일부 유포되는 정황이 확인되고 있습니다.

 

Amadey의 주요 기능은 감염PC의 정보 수집 및 전송과 명령제어 기능, 그리고 추가 모듈 다운로드를 통해서는 애플리케이션 크리덴셜 탈취 및 클립보드에 저장된 암호화폐 지갑 주소 하이재킹 기능을 수행합니다.

 

[그림] 인젝터 페이로드 다운로드 코드

‘Amadey’ 악성코드는 사용자 PC 정보 수집 및 전송 기능을 가진 악성코드입니다. 또한 추가적으로 모듈을 다운로드함으로써 기본 기능 외의 클립보드에 저장된 암호화폐 주소 변경 기능, 추가 애플리케이션 크리덴셜 정보 탈취 기능이 실행될 수 있습니다.

 

기업체에서 이러한 유형의 악성코드에 감염 혹은 노출되는 경우, 감염된 임직원을 대상으로 크리덴셜 스터핑 등으로 공격이 이어져 회사 입장에서도 2차 위협에 노출될 수 있는 부분과 더불어 이스트시큐리티 알약 블로그(https://blog.alyac.co.kr/4968)에서 공개했다시피, 추후에 국내를 대상으로 한 다른 악성코드와 연계되어 유포될 수 있는 점에 주의를 기울일 필요가 있습니다.

 

따라서 이 악성코드에서 감염을 예방하기 위해서는 출처가 불분명한 사이트 내에서 URL, 파일 다운로드를 지양해야 합니다.

 

현재 알약에서는 관련 악성코드를 ‘Trojan.Agent.Amadey’로 진단하고 있으며, 자세한 내용은 보안동향보고서에서 확인하실 수 있습니다.

 

관련글 더보기

댓글 영역