바자로더와 아이스드아이디의 대체품? 새로운 로더 범블비, 이미 높은 인기 누려

요약 : 보안 블로그 시큐리티어페어즈에 의하면 현재 사이버 공격자들 사이에서 새로운 멀웨어가 크게 유행하고 있다고 한다. 이 멀웨어의 이름은 범블비(Bumblebee)이며, 일종의 로더로 분석됐다. 바자로더(BazaLoader)와 아이스드아이디(IcedID)라는 멀웨어를 사용했던 자들이 새롭게 개발한 것으로 보인다. 올해 3월 처음 모습을 드러냈고, 아직까지 완성품은 아닌 것으로 보인다. 다만 이미 고차원적인 수준의 면모를 보이고 있으며, 코발트 스트라이크(Cobalt Strike), 셸코드, 실버(Silver), 미터프리터(Meterpreter)라는 멀웨어들이 범블비를 통해 퍼지는 중이다.


배경 : 범블비에는 가상화 환경을 미리 탐지해 악성 행위를 중단하는 기능도 존재한다. 즉 보안 전문가들의 추적이나 분석을 원천 차단하는 것이다. 또한 원드라이브에 호스팅 되어 있는 악성 ISO 파일을 통해 유포되고 있는 것으로 조사됐다. 유명 클라우드 서비스를 C&C 서버 목적으로 사용하는 사례는 공격자들 사이에서 점점 흔해지고 있다.

말말말 : “현재 범블비를 적극 사용하는 자들은 ‘최초 침투 브로커’들로 보입니다. 즉 공격을 개시할 수 있는 각종 통로를 열어두고, 그 통로 자체를 판매하는 자들이 로더를 심어두는 것이죠. 최근 다크웹의 공격자들 사이에서 역할 세분화가 빠르게 진행되고 있습니다.” -프루프포인트(Proofpoint)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>