Transportation Companies Hit by Cyberattacks Using Lumma Stealer and NetSupport Malware
- 개요
- 북미 지역의 운송 및 물류 회사를 대상으로 한 새로운 피싱 캠페인이 발견되었음
- 이 캠페인은 정보 탈취 악성코드와 원격 액세스 트로이목마(RAT)를 배포하는 데 초점을 맞추고 있음
- 공격자는 침해된 합법적인 이메일 계정을 이용해 악성 콘텐츠를 기존 이메일 대화에 주입함
- 공격 방식
- Proofpoint에 따르면, 최소 15개의 침해된 이메일 계정이 사용되었으며, 이를 통해 악성 링크가 포함된 이메일을 전송
- 2024년 5월에서 7월 사이에 주로 Lumma Stealer, StealC, NetSupport를 배포
- 2024년 8월에는 DanaBot 및 Arechclient2 같은 추가 멀웨어를 사용하며 공격 인프라와 전달 기법을 변경
- 공격 세부 사항
- 악성 이메일은 .URL 파일이나 Google Drive 링크를 포함하여, 이를 통해 멀웨어를 다운로드하도록 유도함
- 일부 변형은 ClickFix 기법을 사용하여 피해자가 PowerShell 스크립트를 실행하게끔 유도
- 표적과 공격자 특징
- 운송 관리 소프트웨어(예: Samsara, AMB Logistic, Astra TMS)를 사칭해, 운송 및 물류 업계 종사자들을 타깃으로 함
- 특정 소프트웨어 및 운송 관련 회사의 운영을 연구한 뒤 캠페인을 진행했을 가능성이 높음
- 악성코드 종류 및 추가 위협
- 최근 등장한 다양한 정보 탈취 악성코드: Angry Stealer, BLX Stealer, Emansrepo Stealer, Luxy, Poseidon, PowerShell Keylogger 등
- 새로운 버전의 RomCom RAT(SnipBot)가 확인되었으며, 이는 주로 피싱 이메일을 통해 배포됨
- RomCom RAT 기능
- 27개의 명령어를 사용하여 피해자의 시스템에서 파일 업로드 및 다운로드, 명령 실행, 프로세스 목록 확인, SOCKS 프록시 설정 등의 작업을 수행할 수 있음
- 과거 랜섬웨어 배포와 연결되었으나, 최근에는 금전적 이득보다 첩보 활동으로 방향을 바꾼 것으로 보임
- 대응 방안
- 운송 및 물류 업계는 이메일 보안을 강화하고, 피싱 공격에 대한 지속적인 모니터링과 인식을 높여야 함
- 악성코드 탐지 도구를 활용하여 네트워크 내 비정상적인 활동을 신속히 탐지하고 대응할 필요가 있음
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
대한결핵협회 사이버연수원 개발 서버에서 개인정보 유출 (1) | 2024.10.01 |
---|---|
AI 시대의 클라우드 네이티브 보안 강화: Qualys의 Google Kubernetes Engine의 Container-Optimized OS 스캔 도입 (1) | 2024.10.01 |
구글의 러스트 도입으로 인한 메모리 취약점 감소 (1) | 2024.10.01 |
IT 대란과 공급망 공격에 대한 대응 전략 (4) | 2024.10.01 |
전설의 미디어 플레이어 윈앰프, 소스코드 공개와 현대화 작업 요청 (2) | 2024.10.01 |