최신 보안 동향

CDN 캐시를 악용해 인포스틸러를 유포하는 악성 캠페인

TACHYON & ISARC 2024. 4. 29. 17:25

최근 CDN(Content Delivery Network) 캐시를 악용해 악성코드를 유포한 캠페인이 발견됐다.

 

보안 업체 Cisco Talos는 공격자가 탐지 기술을 회피하기 위해 CDN 캐시를 다운로드 서버로 사용했다고 언급했다. 또한, 업로드한 악성 ZIP 파일을 영화 파일로 속여 사용자가 다운로드하도록 유도했다고 전했다. 이때 사용자가 ZIP 파일을 다운로드해 내부의 바로가기 파일을 실행하면 감염 체인이 시작된다고 덧붙였다. 최종적으로 CryptbotLummaC2 Rhadamanthys 등의 인포스틸러 악성코드를 사용해 사용자의 정보를 탈취한다고 설명했다.

 

Cisco Talos 측은 캠페인에서 사용된 기술과 공격 방식을 근거로 베트남 출신으로 알려진 CoralRaider 조직이 배후에 있을 것으로 추정했다.

 

[감염 체인]

사진 출처 : Cisco Talos

 

출처

[1] Cisco Talos (2024.04.23) – Suspected CoralRaider continues to expand victimology using three information stealers

https://blog.talosintelligence.com/suspected-coralraider-continues-to-expand-victimology-using-three-information-stealers/