search
ko한국어
banner
홈페이지 / 블로그 / 올해 침입의 80%는 이 3개의 로더에서 발생했습니다. • The Register
블로그
pageSearch
최근 뉴스

올해 침입의 80%는 이 3개의 로더에서 발생했습니다. • The Register

Aug 04, 2023Aug 04, 2023

QBot, SocGholish, Raspberry Robin 등 세 가지 악성 코드 로더는 올해 지금까지 컴퓨터와 네트워크에서 관찰된 공격의 80%를 담당합니다.

보안 상점 ReliaQuest는 금요일에 IT 방어 시스템이 탐지하고 차단해야 하는 가장 위험한 항목은 QBot(QakBot, QuackBot 및 Pinkslipbot이라고도 함)이라고 보고했습니다. QBot은 1월 1일부터 7월 31일 사이에 가장 많이 관찰된 로더로 침입의 30%를 차지했습니다. 시도가 기록되었습니다. SocGholish는 27%로 2위를 차지했고 Raspberry Robin은 23%를 차지했습니다. 라인업의 다른 7개 로더는 선두 3개(3%의 Gootloader, 2%의 Guloader, Chromeloader, Ursnif)보다 훨씬 뒤처져 있습니다.

이름에서 알 수 있듯이 로더는 맬웨어 감염의 중간 단계입니다. 예를 들어, 범죄자가 일부 취약점을 악용하거나 단순히 악성 첨부 파일이 포함된 이메일을 열어야 한다는 표시를 보내는 등의 방법으로 로더가 피해자의 컴퓨터에서 실행됩니다. 로더가 실행 중일 때 일반적으로 지속성을 유지하기 위한 조치를 취하여 시스템에서 기반을 확보하고 실행할 주요 악성 코드 페이로드를 가져와 랜섬웨어나 백도어 등이 될 수 있습니다.

이는 직원들에게 침입 후 유연성을 제공하고 시스템에 배포되는 최종 소프트웨어를 숨기는 데도 도움이 됩니다. 로더를 찾아 중지할 수 있으면 조직 내 트랙에서 심각한 맬웨어 감염을 막을 수 있습니다.

그러나 이러한 로더는 보안 팀에 편두통을 유발합니다. ReliaQuest가 지적했듯이 "동일한 악성 코드를 로드하더라도 한 로더에 대한 완화가 다른 로더에 작동하지 않을 수 있기 때문입니다."

분석에 따르면, ReliaQuest가 "민첩한 것"이라고 설명하는 QBot은 16년 된 뱅킹 트로이목마로 랜섬웨어를 유포하고, 민감한 데이터를 훔치고, 조직 환경을 통한 측면 이동을 활성화하고, 원격 코드를 배포하도록 진화했습니다. 실행 소프트웨어.

지난 6월 Lumen의 Black Lotus Labs 위협 인텔리전스 그룹은 새로운 악성 코드 전달 방법과 명령 및 제어 인프라를 사용하는 로더를 발견했으며, 그 중 4분의 1이 단 하루 동안만 활성화되었습니다. 보안 연구원에 따르면 이러한 발전은 Microsoft가 작년에 Office 사용자에 대해 기본적으로 인터넷 소스 매크로를 차단하려는 움직임에 대한 대응으로 이뤄졌을 가능성이 높습니다.

ReliaQuest는 "QakBot의 민첩성은 Microsoft의 MOTW(Mark of the Web)에 대한 운영자의 반응에서 명백히 드러났습니다. 그들은 HTML 밀수를 사용하기로 선택하여 전달 전술을 변경했습니다"라고 말했습니다. "다른 경우에는 QakBot 운영자가 완화 조치를 회피하기 위해 페이로드에 대한 파일 형식을 실험했습니다."

여기에는 미국 조직을 대상으로 한 2023년 2월 캠페인의 경우처럼 피싱 이메일에 악성 OneNote 파일을 사용하는 것이 포함됩니다.

두 번째 로더인 SocGholish는 Windows를 대상으로 하는 JavaScript 기반 코드 덩어리입니다. 이는 기업 네트워크에 침입한 후 해당 액세스 권한을 다른 범죄자에게 판매하는 러시아의 Evil Corp 및 초기 액세스 브로커인 Exotic Lily와 연결되어 있습니다.

SocGholish는 일반적으로 드라이브 바이 손상 및 사회 공학 캠페인을 통해 배포되며, 다운로드 시 피해자의 장치에 악성 코드를 드롭하는 가짜 업데이트로 위장합니다. Google의 위협 분석 그룹에 따르면 한때 Exotic Lily는 약 ​​650개의 표적 글로벌 조직에 하루에 5,000통 이상의 이메일을 보내고 있었습니다.

지난 가을, TA569로 추적된 범죄 그룹은 250개 이상의 미국 신문 웹사이트를 손상시킨 후 이 액세스 권한을 사용하여 악성 JavaScript 기반 광고 및 비디오를 통해 간행물 독자에게 SocGholish 악성 코드를 제공했습니다.

보다 최근인 2023년 상반기에 ReliaQuest는 "공격적인 워터링 홀 공격"을 수행하는 SocGholish 운영자를 추적했습니다.

위협 연구원들은 “그들은 수익성이 있는 일반적인 비즈니스 운영에 종사하는 대규모 조직의 웹사이트를 손상시키고 감염시켰습니다.”라고 말했습니다. "의심하지 않은 방문자가 필연적으로 SocGholish 페이로드를 다운로드하여 광범위한 감염이 발생했습니다."

상위 3위 안에 드는 것은 역시 Windows 시스템을 대상으로 하며 USB 드라이브를 통해 확산되는 웜에서 발전한 Raspberry Robin입니다.

이전의: 카운티는 2024년에 새로운 제설 트럭, 엔드 로더 구입을 고려하고 있습니다. 다음: 카운티 재향 군인 기념관을 위해 8월 31일까지 포장재 판매
문의 보내기
보내다