사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 콜롬비아 법인을 대상으로 하는 여러 공격을 발견했다고 밝혔습니다.

 

이 공격은 Operation Spalax라고 불립니다. 이러한 공격은 계속되고 있으며 정부 기관과 민간 기업, 특히 에너지 및 금속 산업에 집중되어 있습니다. 공격자는 원격 액세스 트로이 목마 사용에 의존하며 사이버 스파이 활동을 수행할 가능성이 높습니다.

 

이들은 악성 파일의 다운로드를 유도하는 이메일을 통해 표적에 접근합니다. 대부분의 경우 이러한 이메일에는 사용자가 클릭해야 하는 링크가 포함된 PDF 문서가 첨부되어 있습니다. 다운로드된 파일은 내부에 실행 파일이 있는 일반 RAR 압축 파일입니다. 이러한 압축 파일은 OneDrive 또는 MediaFire와 같은 합법적인 파일 호스팅 서비스에서 호스팅 됩니다. 피싱 이메일은 필수 COVID-19 테스트를 실시하거나, 법원 청문회에 참석, 또는 교통 벌금을 지불하라는 통보가 될 수도 있고, 은행 계좌 동결과 관련된 것일 수 있습니다.

 

Operation Spalax에서 사용되는 페이로드는 원격 액세스 트로이 목마입니다. 이러한 기능은 원격 제어뿐만 아니라 표적에 대한 스파이 기능을 제공합니다. 여기에는 키 로깅, 화면 캡처, 클립 보드 가로채기, 파일 유출, 기타 맬웨어 다운로드 및 실행 기능 등이 있습니다.

 

ESET 2020년 하반기에 적어도 24개 이상의 서로 다른 IP 주소를 발견했습니다. 이들은 아마도 C&C 서버의 프록시 역할을 하는 손상된 장치일 것입니다. 이것은 동적 DNS 서비스의 사용과 결합되어 해당 인프라가 절대 중단되지 않았음을 의미합니다. 이 기간 동안 최소 70개의 도메인 이름이 활성화되었으며 정기적으로 새 도메인 이름을 등록합니다.”라고 Spalax를 조사한 ESET 연구원인 Matías Porolli가 말합니다.

 

콜롬비아 기관에 대한 표적 맬웨어 공격은 작년에 다른 연구원들이 설명한 캠페인 이후 확대되었습니다. 이러한 환경은 소수의 C&C 서버와 도메인 이름이 포함된 캠페인에서 2019년 이후 수백 개의 도메인 이름이 사용된 매우 크고 빠르게 변화하는 인프라를 갖춘 캠페인으로 변모했습니다.

 

공격개요

ESET 2020년에 확인한 공격은 콜롬비아를 대상으로 하는 그룹에 대한 이전 보고서와 일부 TTP를 공유하지만 여러 측면에서 차이가 있어 귀속성이 어려워졌다고 밝혔습니다.

 

Operation Spalax에 대한 자세한 기술 정보는 WeLiveSecurity의 블로그 게시물 "Operation Spalax: Targeted malware attacks in Colombia"을 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우 하십시오.

 

 

 

사업자 정보 표시
ESET KOREA operated by ESTC | 정형래 | 서울시 강남구 논현로 406 요경빌딩 4층 | 사업자 등록번호 : 264-81-44862 | TEL : 070-7839-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

셈틀씨

안전한 기술을 즐기는 ESET KOREA operated by ESTC 공식 블로그입니다.

댓글을 달아 주세요