AceCryptor 악성코드

AceCryptor 도구와 관련된 수많은 새로운 감염 사례가 등장하여 우려되는 추세를 나타냅니다. 맬웨어를 위장하고 기존의 맬웨어 방지 방어 수단으로 탐지되지 않은 시스템에 침투하는 능력 때문에 해커들이 선호하는 이 도구는 유럽 전역의 조직을 대상으로 한 캠페인에 활용되었습니다. 수년간 AceCryptor의 활동을 모니터링해 온 연구원들은 이 최근 캠페인에서 뚜렷한 변화를 관찰했습니다. 이전 사례와 달리 공격자는 익스플로잇에 포함된 변조된 코드의 범위를 확대하여 대상 엔터티에 대한 위협을 강화했습니다.

AceCryptor는 유해한 후기 단계 위협을 전달하는 데 사용됩니다.

AceCryptor는 일반적으로 우크라이나의 조직에 대한 공격에 자주 사용되는 강력한 원격 감시 도구 역할을 하는 Remcos 또는 Rescoms 와 같은 악성 코드와 결합됩니다. Remcos 및 잘 알려진 SmokeLoader 와 함께 연구원들은 이제 AceCryptor가 STOP/Djvu 랜섬웨어 및 Vidar Stealer 의 변종을 포함하여 다른 악성 코드 변종을 유포하는 것을 관찰했습니다.

더욱이 연구자들은 대상 국가에서 뚜렷한 패턴을 발견했습니다. SmokeLoader가 우크라이나 공격에 연루된 반면 폴란드, 슬로바키아, 불가리아 및 세르비아의 사건에서는 Remcos가 사용되었습니다.

꼼꼼하게 조율된 캠페인에서 AceCryptor는 민감한 정보를 추출하거나 다양한 회사에 대한 초기 액세스 설정을 목표로 여러 유럽 국가를 대상으로 활용되었습니다. 이러한 공격에서 맬웨어 배포는 종종 스팸 이메일을 통해 발생했으며 그 중 일부는 매우 설득력이 있었습니다. 때로는 합법적인 이메일 계정이 도용되어 이러한 오해의 소지가 있는 메시지를 보내는 데 악용되기도 했습니다.

이번 작전의 주요 목적은 표적 회사에 대한 추가 공격을 위한 이메일 및 브라우저 자격 증명을 획득하는 것입니다. 특히, 기록된 AceCryptor 사고의 대부분은 이러한 공격의 초기 손상 지점 역할을 했습니다.

AceCryptor의 목표는 2023년 내내 바뀌었습니다

2023년 6개월 동안 AceCryptor로 가득 찬 악성 코드의 영향을 받은 국가는 페루, 멕시코, 이집트, 터키였으며 페루는 4,700건의 공격을 받았습니다. 그러나 올해 하반기에 눈에 띄는 변화를 겪으면서 해커들은 유럽 국가, 특히 26,000건이 넘는 공격을 견뎌낸 폴란드로 초점을 돌렸습니다. 우크라이나, 스페인, 세르비아도 수천 건의 공격을 받았습니다.

Rescoms는 올해 후반기에 32,000건이 넘는 사고를 발생시키며 AceCryptor를 통해 배포되는 주요 악성코드 계열로 부상했습니다. 폴란드가 이러한 사건의 절반 이상을 차지했으며, 세르비아, 스페인, 불가리아, 슬로바키아가 그 뒤를 이었습니다.

폴란드 기업을 표적으로 삼은 공격은 유사한 제목을 공유했으며 종종 피해를 입은 기업과 관련된 B2B 제안으로 가장했습니다. 해커들은 신뢰도를 높이기 위해 이메일에 실제 폴란드 회사 이름과 기존 직원 신원을 활용했습니다. 이러한 공격의 동기는 여전히 모호합니다. 해커가 훔친 자격 증명을 개인적인 용도로 이용하려는지, 아니면 다른 위협 행위자에게 판매하려는지는 확실하지 않습니다.

현재 이용 가능한 증거로는 공격 캠페인의 원인을 특정 소스로 확실히 밝히는 데 실패했습니다. 그러나 러시아 정부와 연계된 해커들이 Remcos와 SmokeLoader를 반복적으로 고용했다는 점은 주목할 가치가 있습니다.