피카봇 악성코드

Infosec 연구원들은 PikaBot 악성 코드가 포함된 매우 정교한 피싱 캠페인을 탐지했으며, 이는 Qakbot 작업을 해체한 이후 가장 발전된 피싱 작업으로 표시됩니다. 이 사기성 이메일 캠페인은 FBI가 QBot(Qakbot) 인프라를 성공적으로 압수하고 종료한 이후 2023년 9월에 시작되었습니다.

연구원들에 따르면 PikaBot 이전에는 공격 캠페인에서 주로 Dark Gate 라는 위협을 활용했습니다. 공격자가 사용하는 트릭과 기술은 이전 Qakbot 캠페인에서 볼 수 있는 것과 밀접하게 유사하며, 이는 Qbot 위협 행위자가 새로운 악성 코드 봇넷으로 전환했음을 시사합니다.

Qbot은 이메일을 통해 유포되는 가장 널리 퍼진 악성 코드 봇넷 중 하나였습니다. 이제 모듈식 악성코드 로더로서 Qbot 과 수많은 기능을 공유하는 DarkGate와 PikaBot은 기업에 심각한 위협이 되고 있습니다. Qbot과 유사하게, 이러한 새로운 악성 코드 로더는 위협 행위자가 네트워크에 대한 초기 액세스 권한을 얻기 위해 사용되어 잠재적으로 랜섬웨어, 간첩 및 데이터 도난 공격으로 이어질 것으로 예상됩니다.

PikaBot은 피싱 공격을 통해 전달됩니다.

Infosec 연구원들은 위협 행위자들이 2023년 10월부터 PikaBot을 기본 페이로드로 배포하면서 DarkGate 악성 코드를 전파하는 사기 관련 이메일이 크게 급증하는 것을 관찰했습니다. 피싱 캠페인은 절도한 토론에 대한 답장이나 전달로 가장한 이메일로 시작됩니다. 스레드는 수신자 간의 신뢰를 구축하기 위한 전술입니다.

내장된 URL을 클릭하면 사용자는 일련의 검사를 거쳐 대상으로서의 유효성을 확인한 후 악성 코드 드롭퍼가 포함된 ZIP 아카이브를 다운로드하라는 메시지가 표시됩니다. 이 드로퍼는 원격 리소스에서 최종 페이로드를 검색합니다.

공격자들은 효율성을 확인하기 위해 다음과 같은 다양한 초기 악성 코드 드롭퍼를 실험했습니다.

• JavaScript 드로퍼(JS Dropper)는 PE 또는 DLL을 다운로드하고 실행하도록 설계되었습니다.
• XLL 파일 생성을 위한 오픈 소스 프로젝트를 활용하는 Excel-DNA 로더는 여기에서 맬웨어를 다운로드하고 실행하는 데 악용됩니다.
• Microsoft Office 문서의 .vbs 파일을 통해 악성코드를 실행하거나 명령줄 실행 파일을 호출할 수 있는 VBS(Virtual Basic Script) 다운로더.
• Microsoft 바로가기 파일(.lnk)을 오용하여 악성코드를 다운로드하고 실행하는 LNK 다운로더입니다.

2023년 9월 내내 DarkGate 악성코드는 이러한 공격의 최종 페이로드 역할을 했지만 이후 2023년 10월 PikaBot으로 대체되었습니다.

PikaBot은 광범위한 분석 방지 조치를 갖추고 있습니다.

2023년 초에 출시된 PikaBot은 강력한 디버깅 방지, VM 방지, 에뮬레이션 방지 메커니즘을 갖춘 로더와 핵심 모듈로 구성된 최신 악성코드입니다. 이 악성코드는 감염된 시스템의 프로파일을 꼼꼼하게 프로파일링하고 수집된 데이터를 명령 및 제어(C2) 인프라로 전송하여 추가 지시를 기다립니다.

C2는 악성코드가 모듈을 다운로드하고 실행하도록 지시하는 명령을 발행합니다. 이 모듈은 DLL 또는 PE 파일, 셸코드 또는 명령줄 명령 형태로 제공되며 도구로서의 다용성을 보여줍니다.

연구원들은 PikaBot과 DarkGate 캠페인이 일반적인 피싱 공격자들을 능가하는 기술을 갖춘 숙련된 위협 행위자들에 의해 조직되고 있다고 경고합니다. 따라서 조직은 이 캠페인과 관련된 전술, 기술 및 절차(TTP)를 숙지해야 합니다.