요약 : 보안 외신 해커뉴스에 의하면 범블비(Bumblebee)라는 유명 멀웨어가 최근 다시 활동을 시작했다고 한다. 4개월 만에 되돌아온 것인데, 새로운 기능이 탑재된 것으로 분석됐다. 보안 업체 프루프포인트(Proofpoint)에 의하면 새 범블비는 주로 미국 기업들을 겨냥하고 있으며, 음성메일과 관련된 속임수로 피해자들에게 접근한다고 한다. 1차로 속은 피해자들은 원드라이브에 호스팅 된 URL로 안내되며, 이를 클릭할 경우 워드 문서 하나가 다운로드 된다. 그런 후 파워셸 명령이 실행되면서 추가 파워셸 스크립트가 다운로드 되고, 이 스크립트를 통해 범블비가 설치된다.

4개월 만에 나타난 범블비, 주로 미국 기업들 공략하고 있어

[이미지 = gettyimagesbank]

배경 : 범블비는 2022년 3월에 처음 등장한 멀웨어로, 추가 페이로드를 다운로드 받아 피해자의 컴퓨터에 설치하는 로더다. 콘티(Conti)나 트릭봇(Trickbot)과 같은 악명 높은 공격 단체들이 개발한 것으로 의심하는 보안 전문가들도 있다. 여러 공격 단체들이 활발히 활용하는 멀웨어 중 하나다.

말말말 : “흥미로운 건 범블비의 공격 사슬 중에 포함되어 있는 악성 워드 문서가 매크로를 기반으로 작동한다는 겁니다. 악성 매크로 공격은, MS가 매크로를 비활성화시킨 이후 급격하게 옛 공격 전략이 되어가는 중입니다. 아무도 사용하지 않는다고 해도 무방한 전략을 범블비의 배후에 있는 세력들이 사용하고 있는 이유는 아직 다 파악되지 않았습니다.” -프루프포인트-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>