Kant's IT/Issue on IT&Security

운송업계를 겨냥한 Lumma Stealer 및 NetSupport 멀웨어 사이버 공격

Kant Jo 2024. 10. 1. 16:26

Transportation Companies Hit by Cyberattacks Using Lumma Stealer and NetSupport Malware

 

Transportation Companies Hit by Cyberattacks Using Lumma Stealer and NetSupport Malware

North American transport firms targeted by a phishing campaign delivering info stealers and remote access trojans.

thehackernews.com

 

  • 개요
    • 북미 지역의 운송 및 물류 회사를 대상으로 한 새로운 피싱 캠페인이 발견되었음
    • 이 캠페인은 정보 탈취 악성코드원격 액세스 트로이목마(RAT)를 배포하는 데 초점을 맞추고 있음
    • 공격자는 침해된 합법적인 이메일 계정을 이용해 악성 콘텐츠를 기존 이메일 대화에 주입함
  • 공격 방식
    • Proofpoint에 따르면, 최소 15개의 침해된 이메일 계정이 사용되었으며, 이를 통해 악성 링크가 포함된 이메일을 전송
    • 2024년 5월에서 7월 사이에 주로 Lumma Stealer, StealC, NetSupport를 배포
    • 2024년 8월에는 DanaBotArechclient2 같은 추가 멀웨어를 사용하며 공격 인프라와 전달 기법을 변경
  • 공격 세부 사항
    • 악성 이메일은 .URL 파일이나 Google Drive 링크를 포함하여, 이를 통해 멀웨어를 다운로드하도록 유도함
    • 일부 변형은 ClickFix 기법을 사용하여 피해자가 PowerShell 스크립트를 실행하게끔 유도
  • 표적과 공격자 특징
    • 운송 관리 소프트웨어(예: Samsara, AMB Logistic, Astra TMS)를 사칭해, 운송 및 물류 업계 종사자들을 타깃으로 함
    • 특정 소프트웨어 및 운송 관련 회사의 운영을 연구한 뒤 캠페인을 진행했을 가능성이 높음
  • 악성코드 종류 및 추가 위협
    • 최근 등장한 다양한 정보 탈취 악성코드: Angry Stealer, BLX Stealer, Emansrepo Stealer, Luxy, Poseidon, PowerShell Keylogger
    • 새로운 버전의 RomCom RAT(SnipBot)가 확인되었으며, 이는 주로 피싱 이메일을 통해 배포됨
  • RomCom RAT 기능
    • 27개의 명령어를 사용하여 피해자의 시스템에서 파일 업로드 및 다운로드, 명령 실행, 프로세스 목록 확인, SOCKS 프록시 설정 등의 작업을 수행할 수 있음
    • 과거 랜섬웨어 배포와 연결되었으나, 최근에는 금전적 이득보다 첩보 활동으로 방향을 바꾼 것으로 보임
  • 대응 방안
    • 운송 및 물류 업계는 이메일 보안을 강화하고, 피싱 공격에 대한 지속적인 모니터링과 인식을 높여야 함
    • 악성코드 탐지 도구를 활용하여 네트워크 내 비정상적인 활동을 신속히 탐지하고 대응할 필요가 있음