새로운 Batshadow 위협 보고서 다운로드 또는 인터랙티브 보고서 듣기
아리아카 위협 연구소는 소셜 엔지니어링을 통해 구직자와 디지털 마케팅 전문가를 공격하는 베트남 위협 공격자 BatShadow의 새로운 캠페인을 발견했습니다. 공격자들은 채용 담당자로 위장하여 직무 설명과 회사 문서로 위장한 악성 파일을 배포합니다. 이러한 미끼 파일을 열면 뱀파이어 봇이라고 하는 Go 기반 멀웨어의 감염 사슬이 시작됩니다.
이 캠페인은 위협 공격자들이 어떻게 전문적인 워크플로우에 대한 신뢰를 악용하여 지속성을 확보하고, 시스템 감시를 수행하고, 민감한 정보를 유출하는 동시에 자신들의 활동을 정상 트래픽에 섞어 넣는지 보여줍니다.
감염은 일반적으로 잘못된 확장자로 마스킹된 악성 바로가기 또는 실행 파일과 함께 미끼 PDF가 포함된 ZIP 아카이브로 시작됩니다. 이 경우 악성 파일은 백그라운드에서 악성 코드를 조용히 다운로드 및 설치하면서 피해자에게 미끼 PDF를 표시하는 숨겨진 PowerShell 명령을 실행합니다. 공격자는 또한 브라우저 기반 트릭을 사용하여 피해자가 특정 브라우저로 전환하도록 유도하여 기본 제공 보호 기능을 우회하고 페이로드가 성공적으로 전달되도록 합니다.
뱀파이어 봇이 실행되면 자세한 호스트 프로파일링을 수행하여 사용자 이름, 하드웨어 식별자, 운영 체제 세부 정보, 권한 수준 및 설치된 보안 제품에 대한 정보를 수집합니다. 이 데이터는 공격자의 인프라로 전송되기 전에 암호화됩니다. 지속성을 유지하기 위해 멀웨어는 시스템 폴더에 자신을 숨기고, 속성을 적용하여 은폐 상태를 유지하며, 여러 인스턴스가 실행되지 않도록 뮤텍스를 생성합니다.
뱀파이어 봇의 핵심 기능은 지속적인 데스크톱 감시입니다. 이 멀웨어는 설정 가능한 간격으로 스크린샷을 캡처하여 WEBP 형식으로 압축한 후 암호화된 채널을 통해 유출합니다. 또한 명령을 실행하거나 추가 페이로드를 다운로드하는 등의 명령을 받기 위해 지속적인 C2 폴링 루프를 유지합니다. 작업 결과는 운영자에게 다시 전송되어 감염된 시스템을 완벽하게 원격 제어할 수 있습니다.
이러한 배트섀도우의 전술의 진화는 이전에 상용 멀웨어에 의존하던 그룹이 더 강력한 지속성과 은밀성을 위해 설계된 맞춤형 툴로 전환한 것을 반영합니다. 공격자들은 익숙한 업무용 애플리케이션 워크플로우에 악성 코드를 삽입함으로써 침해 성공 가능성을 높이는 동시에 탐지 가능성을 낮춥니다. 이러한 변화는 사이버 보안 분야에서 지속적인 경계의 필요성이 시급함을 강조합니다.
마지막으로, 아리아카 위협 연구소는 커뮤니티 파트너와 긴밀히 협력하여 위협 인텔리전스를 통해 탐지 기능을 강화합니다. 우리는 Proofpoint 신흥 위협 연구팀과 함께 책임감 있게 연구를 공개하여 규칙 세트를 업데이트했습니다. 이머징 위협의 언급을 포함한 이러한 협력 노력은 진화하는 사이버 문제를 해결하는 사이버 보안 커뮤니티의 강점을 강조합니다.
여기에서 보고서를 읽거나 대화형 보고서 살펴보기