아이스드아이디 활동 재개...기존 전략 그대로 사용했는데도 강력

요약 : 보안 외신 해커뉴스에 의하면 아이스드아이디(IcedID) 멀웨어가 다시 등장해 공격을 시작했다고 한다. 이번에는 한 조직을 침투한 후 24시간도 되지 않아 액티브 디렉토리의 도메인을 침해하는 데 성공한 것으로 분석됐다. 이를 추적한 보안 업체 사이버리즌(Cybereason)은 침투부터 침해까지 윈도 프로토콜 남용, 코발트 스트라이크(Cobalt Strike)의 활용 등의 여러 가지 방법이 동원됐다고 밝혔다. 아직 조사와 복구가 진행 중이라 피해 기업에 대해서는 정확히 공개된 바가 없다.


배경 : 아이스드아이디는 복봇(BokBot)이라고도 불리는 뱅킹 멀웨어로 2017년 처음 등장했다. 하지만 시간이 지남에 따라 드로퍼 멀웨어로 변했고, 이모텟(Emotet), 트릭봇(TrickBot), 칵봇(QakBot), 범블비(BumbleBee) 등과 같은 역할을 주로 담당한다.

말말말 : “이번 공격은 전략의 측면에서 이전의 공격들과 크게 다르지 않습니다. ISO 이미지 파일로부터 시작해 ZIP 아카이브에 아이스드아이디 페이로드를 숨기는 것도 이전과 같고요. 코발트 스트라이크와 아테라(Atera)와 같은 합법적인 도구를 사용해 탐지를 피하기도 합니다. 이들이 수립한 전략이 이미 충분히 효과적이라는 것을 보여줍니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>