보안업체 Group-IB는 벨기에에서 Camppo loader, hancitor, icedID, Qbot, Buer loader 및 SocGholish를 배포하기 위해 사이버 범죄 조직이 수행한 “프로메테우스” 악성 소프트웨어 배포 캠페인을 공개했다. 한 달에 250달러의 비용이 드는 이 제품은 러시아 지하 포럼에서 TDS(트래픽 방향 시스템)로 판매되어 목표 시스템에 악성코드를 배포하도록 설계되었고 대규모 피싱 리다이렉션을 수행한다.
최근 블랙베리 연구 및 인텔리전스팀은 해커뉴스와 공유한 보고서에서 “프로메테우스는 위협 그룹이 악성코드나 피싱 작업을 쉽게 전달 할 수 있도록 하는 완전한 서비스/플랫폼”으로 간주될 수 있다고 언급했다. 프로메테우스의 주요 구성 요소에는 악성 인프라 웹, 악성 이메일 배포, 합법적인 서비스를 통한 불법 파일 호스팅, 트래픽 리다이렉션 및 악성 파일 전달 기능이 포함된다.
일반적으로 리다이렉션은 두가지 주요 소스 중 하나에서 유입된다. 즉 합법적인 웹사이트의 악성 광고의 도움을 받거나 악성코드를 삽입하도록 변조된 웹사이트를 통해 이루어진다.
프로메테우스의 경우 공격 체인은 HTML 파일 또는 구글 문서도구 페이지가 포함된 스팸 이메일로 시작한다. 이 이메일은 피해자를 PHP 백도어를 호스팅하는 손상된 웹사이트로 리다이렉션하여 피해자에게 악성코드를 제공하거나 피싱 사기가 포함될 수 있는 다른 페이지로 리다이렉션한다.
이 밖에도 블랙베리는 프로메테우스 관련 활동과 위협 에뮬레이션 소프트웨어의 불법 버전 사이에 중복되는 부분을 발견하여 프로메테우스가 복제되어 활동하는 가능성이 있다고 분석했다.
[출처 : TheHackerNews / 1.19.]
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.