Bumblebee 맬웨어가 4개월 만에 재등장하여 미국의 수천 개 조직을 대상으로 피싱 캠페인을 진행하고 있습니다. Bumblebee는 2022년 4월에 발견된 맬웨어 로더로, Conti와 Trickbot 사이버 범죄 조직이 BazarLoader 백도어를 대체하기 위해 개발한 것으로 알려져 있습니다. 이 맬웨어는 주로 피싱 캠페인을 통해 추가 페이로드를 감염된 장치에 배포하며, 이를 통해 Cobalt Strike 비콘 등을 이용하여 초기 네트워크 접근을 하고 랜섬웨어 공격을 수행합니다.
Proofpoint에 따르면, Bumblebee의 재등장은 2024년을 앞두고 사이버 범죄 활동이 더욱 확대될 수 있음을 시사하고 있습니다. 새로운 피싱 캠페인에서는 Bumblebee가 가짜 음성메일 알림으로 위장하여 "Voicemail February"라는 주제를 이용하고, "info@quarlessa[.]com" 주소에서 미국의 수천 개 조직에게 이메일을 보내는 방식을 사용하고 있습니다. 이메일에는 OneDrive URL이 포함되어 있으며, 이를 통해 "ReleaseEvans#96.docm" 또는 유사한 이름의 Word 문서를 다운로드 받을 수 있습니다.
이 문서는 VBA 매크로를 사용하여 Windows 임시 폴더에 스크립트 파일을 생성하고, "wscript"를 사용하여 생성된 파일을 실행합니다. 이 임시 파일에는 원격 서버에서 다음 단계를 가져와 실행하는 PowerShell 명령이 포함되어 있으며, 이를 통해 최종적으로 Bumblebee DLL(w_ver.dll)이 피해자의 시스템에 다운로드되고 실행됩니다.
요약
- Bumblebee 맬웨어가 4개월 만에 재등장하여 미국의 수천 개 조직을 대상으로 피싱 캠페인을 진행하고 있다.
- 이 맬웨어는 주로 피싱 캠페인을 통해 추가 페이로드를 감염된 장치에 배포하며, 이를 통해 초기 네트워크 접근을 하고 랜섬웨어 공격을 수행한다.
- 새로운 피싱 캠페인에서는 Bumblebee가 가짜 음성메일 알림으로 위장하여 이메일을 보내는 방식을 사용하고 있다.
- 이메일에는 OneDrive URL이 포함되어 있으며, 이를 통해 Word 문서를 다운로드 받을 수 있다.
- 이 문서는 VBA 매크로를 사용하여 Windows 임시 폴더에 스크립트 파일을 생성하고, 이를 통해 최종적으로 Bumblebee DLL이 피해자의 시스템에 다운로드되고 실행된다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.