악성 행위자로 추적된 Unfurling Hemlock이 수십 개의 맬웨어를 동시에 대상 시스템에 감염시키는 캠페인을 진행하고 있 습니다. 이를 보안 연구원들은 '맬웨어 클러스터 폭탄'이라고 표현하며, 이를 통해 Unfurling Hemlock은 하나의 맬웨어 샘플을 사용하여 손상된 기계에 추가 맬웨어를 퍼뜨릴 수 있습니다. 이 방식으로 전달되는 맬웨어 유형에는 정보 도용자, 봇넷, 백도어 등이 포함됩니다.
Outpost24의 KrakenLabs가 이 작업을 발견하였으며, 이들은 이 활동이 적어도 2023년 2월 이후로 이루어졌으며 독특한 배포 방법을 사용하고 있다고 밝혔습니다. KrakenLabs는 Unfurling Hemlock 그룹과 연결된 고유한 특성을 공유하는 50,000개 이상의 '클러스터 폭탄' 파일을 확인하였습니다. 공격은 'WEXTRACT.EXE'라는 파일의 실행으로 시작되며, 이 파일은 악성 이메일 또는 Unfurling Hemlock이 운영자와 계약을 통해 접근할 수 있는 맬웨어 로더를 통해 대상 장치에 도달합니다.
Unfurling Hemlock의 공격은 맬웨어의 양과 단계 수가 다양합니다. 분석된 샘플에서 연구원들은 Unfurling Hemlock 공격의 절반 이상이 미국 시스템을 대상으로 하였으며, 독일, 러시아, 터키, 인도, 캐나다에서도 상대적으로 높은 활동량을 확인하였습니다.
요약
- Unfurling Hemlock이 '맬웨어 클러스터 폭탄'을 사용하여 대상 시스템에 수십 개의 맬웨어를 동시에 감염시키고 있다.
- 이 공격은 2023년 2월 이후로 이루어졌으며, 'WEXTRACT.EXE'라는 파일의 실행으로 시작된다.
- Unfurling Hemlock 공격의 절반 이상이 미국 시스템을 대상으로 하였으며, 독일, 러시아, 터키, 인도, 캐나다에서도 상대적으로 높은 활동량을 확인하였다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.