요약 : 보안 외신 해커뉴스에 의하면 최근 다크게이트(DarkGate)를 활용한 멀웨어 캠페인이 잠시 등장했다가 사라졌다고 한다. 이번 캠페인의 특징은 삼바(Samba)라는 파일 공유 프로토콜을 통해 멀웨어가 유포되었다는 것이라고 보안 업체 팔로알토네트웍스(Palo Alto Networks)는 설명한다. 올해 3월과 4월 동안 진행됐으며, 비주얼 베이직과 자바스크립트 파일들이 호스팅 되어 있는 삼바 서버를 통해 다크게이트를 퍼트리는 것이 주요한 수법이었다고 하며, 주요 표적은 북미와 유럽, 아시아의 조직들이었다고 한다.


배경 : 다크게이트는 2018년 처음 등장한 멀웨어로, 선택된 일부 고객들에게만 제공되는 다크웹 서비스 중 하나였다. 침해한 시스템을 원격에서 제어하고, 코드를 실행하고, 암호화폐를 채굴하고, 리버스 셸을 실행하는 등의 기능을 가지고 있다. 2023년 칵봇(Qakbot)이라는 인기 높은 다운로더가 국제 공조 작전으로 무력화된 이후 다크게이트의 인기가 오르고 있다.

말말말 : “이번 캠페인은 악성 엑셀 파일을 첨부한 피싱 이메일로부터 시작됐습니다. 삼바 파일 서버를 이용한다는, 매우 독창적인 캠페인이었지만 결국 시작은 피싱 이메일이었지요. 피싱 교육과 이메일 보안이 상당히 중요한 이유입니다.” -팔로알토-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>