Vampire Bot Malware
배트섀도우(BatShadow)라는 이름으로 추적되는 베트남어 사용 위협 행위자가 구직자와 디지털 마케팅 전문가를 유인하여 이전에는 문서화되지 않았던 구글 기반 악성코드(연구원들이 뱀파이어 봇(Vampire Bot)이라고 명명)를 설치하도록 유도하는 표적 캠페인을 진행하고 있습니다. 이 그룹은 채용 담당자를 사칭하여 겉보기에 합법적인 직무 기술서와 기업 PDF 파일을 배포하는데, 이러한 정보와 상호 작용하면 다단계 감염 사슬이 촉발되어 원격 감시 및 데이터 유출 기능을 제공합니다.
목차
소셜 엔지니어링과 미끼 전달
공격자는 채용 관련 메시지와 ZIP 첨부 파일을 작성하는데, 여기에는 악성 바로가기(LNK) 또는 PDF로 위장한 실행 파일과 함께 미끼 PDF 파일이 포함되어 있습니다. 이러한 문서 유인물은 특히 마케팅 직무를 겨냥하며, (한 유인물은 메리어트 마케팅 직무를 언급했습니다) 피해자의 신뢰도를 높이기 위해 사용됩니다. 피해자는 직무 설명을 '미리 보기'하거나 다운로드하도록 유도되며, 이를 통해 다단계 악용 시퀀스가 시작됩니다.
감염 사슬 진행
ZIP 패키지에는 내장된 PowerShell 스크립트를 실행하는 악성 LNK가 포함되어 있습니다. 이 스크립트는 외부 서버에 접속하여 유인 PDF 파일과 XtraViewer(원격 데스크톱 소프트웨어) 관련 파일이 포함된 별도의 ZIP 번들을 가져옵니다. XtraViewer 구성 요소가 실행되어 지속성 또는 원격 액세스를 확보할 가능성이 높으며, 이러한 체인은 Go 실행 파일이 배포될 때까지 계속됩니다.
Edge 리디렉션 남용
이 캠페인의 핵심 수법은 가짜 '지원되지 않는 브라우저' 오류를 표시하고 피해자에게 URL을 복사하여 Microsoft Edge에서 열도록 유도하는 랜딩 페이지입니다. 스크립트 기반 리디렉션은 최신 브라우저에서 차단되는 경우가 많기 때문에 공격자는 사용자에게 수동 작업(Edge에 복사/붙여넣기)을 수행하도록 유도합니다. 이렇게 하면 사용자가 직접 실행한 것으로 간주되어 다운로드가 계속 진행됩니다. Edge에서 페이지가 열리면 PDF가 압축되어 '기기로 전송되었습니다'라는 또 다른 가짜 오류가 표시되고, 자동으로 ZIP 파일 다운로드가 실행됩니다.
탑재물 및 미끼 명명 트릭
자동 다운로드된 ZIP 파일에는 채용 공고와 PDF처럼 보이는 악성 실행 파일(예: 'Marriott_Marketing_Job_Description.pdf.exe')이 포함되어 있습니다. 이 실행 파일은 파일 이름에 패딩('.pdf'와 '.exe' 사이에 공백 추가)을 사용하여 일부 보기에서는 PDF처럼 보이게 하므로, 피해자가 해당 파일을 실행할 가능성이 높아집니다.
뱀파이어 봇의 기능
삭제된 실행 파일은 Golang 바이너리로, '뱀파이어 봇'이라는 이름이 붙었습니다. 관찰된 기능은 다음과 같습니다.
- 감염된 호스트를 열거하고 프로파일링합니다.
- 광범위한 데이터(자격 증명 저장소, 파일 등)를 훔칩니다.
- 구성 가능한 일정에 따라 스크린샷을 찍습니다.
그리고
- 공격자 서버(api3.samsungcareers.work로 보고됨)와 명령 및 제어 통신을 유지하여 명령을 받거나 추가 페이로드를 다운로드합니다.
귀속 및 인프라
분석가들은 인프라 재사용(예: 이전에 베트남 관련 사업자와 연계되었던 IP 주소(103.124.95.161))과 타겟팅 패턴을 근거로 이 활동을 베트남과 연관 짓습니다. 배트섀도우는 이전에도 디지털 마케팅 전문가를 표적으로 삼았으며, 페이스북 비즈니스 자산을 탈취하는 스틸러를 배포하는 것으로 알려진 다른 금전적 동기를 가진 베트남 그룹과도 겹칩니다. 이 그룹은 최소 1년 이상 활동해 온 것으로 보이며, 이전에 samsung-work.com과 같은 도메인을 사용하여 Agent Tesla, Lumma Stealer, Venom RAT 등의 악성코드를 유포했으며, 2024년 10월에는 이와 유사한 부비트랩이 설치된 직무 기술 파일을 통해 Quasar RAT를 유포하는 캠페인을 벌인 바 있습니다.
이 공격이 효과적인 이유는?
배트섀도우는 업계 관련 미끼(마케팅 구인 광고), 파일명 조작, 단계적 페이로드(단순 파일 스캐닝을 회피하기 위한), 그리고 스크립트 리디렉션 보호 기능을 우회하기 위해 브라우저의 수동 동작을 강제하는 흐름을 결합합니다. 소셜 엔지니어링과 다단계 기술 단계의 조합은 성공적인 침해와 장기적인 접근 가능성을 높입니다.
결론
배트섀도우의 캠페인은 표적 소셜 엔지니어링이 단계적이고 회피적인 기술 체인과 결합될 때 얼마나 효과적인지를 보여줍니다. 채용을 자주 하거나 지원자 트래픽을 처리하는 조직, 그리고 온라인 자산을 관리하는 디지털 마케팅 전문가는 메일/첨부 파일 처리를 강화하고, 엄격한 실행 제어를 적용하며, 채용 관련 첨부 파일은 검증될 때까지 고위험으로 취급해야 합니다.
