The Hacker News 에 따르면, QakBot은 전 세계적으로 70만 대 이상의 컴퓨터를 손상시킨 것으로 추정되는 악명 높은 Windows 맬웨어 종류이며, 금융 사기와 랜섬웨어를 용이하게 합니다.
미국 법무부 (DoJ)는 해당 맬웨어가 피해자의 컴퓨터에서 제거되어 추가 피해를 막고 있으며, 당국은 860만 달러 이상의 불법 암호화폐를 압수했다고 밝혔습니다.
프랑스, 독일, 라트비아, 루마니아, 네덜란드, 영국, 미국이 참여하고 사이버 보안 회사인 Zscaler의 기술 지원을 받은 이 국경 간 작전은 사이버 범죄자들이 사용하는 봇넷 인프라에 대한 미국 주도의 단속 조치 중 가장 큰 규모였지만, 체포자는 발표되지 않았습니다.
QakBot의 봇넷 제어 모델
QakBot(QBot 또는 Pinkslipbot으로도 알려짐)은 2007년 뱅킹 트로이 목마로 활동하기 시작했으며, 이후 감염된 컴퓨터에서 랜섬웨어를 포함한 악성코드의 배포 허브 역할을 하게 되었습니다. QakBot이 유포한 랜섬웨어에는 Conti, ProLock, Egregor, REvil, MegaCortex, Black Basta 등이 있습니다. QakBot 운영자들은 2021년 10월부터 2023년 4월까지 피해자들로부터 약 5,800만 달러의 몸값을 받은 것으로 추정됩니다.
피싱 이메일을 통해 유포되는 이 모듈형 악성코드는 명령 실행 및 정보 수집 기능을 갖추고 있습니다. QakBot은 출시 이후 지속적으로 업데이트되었습니다. 미 법무부는 이 악성코드에 감염된 컴퓨터가 봇넷의 일부였으며, 이는 공격자들이 감염된 모든 컴퓨터를 원격으로 조직적으로 제어할 수 있음을 의미한다고 밝혔습니다.
법원 문서에 따르면, 이 작전은 QakBot 인프라에 접근하여 FBI가 관리하는 서버를 통해 봇넷 트래픽을 리디렉션함으로써 범죄자들의 공급망을 무력화하는 궁극적인 목표를 달성했습니다. 해당 서버는 감염된 컴퓨터에 QakBot 봇넷에서 컴퓨터를 제거하도록 설계된 제거 프로그램을 다운로드하도록 지시하여 추가적인 악성 코드 구성 요소 배포를 효과적으로 차단했습니다.
QakBot은 시간이 지남에 따라 더욱 정교해졌으며, 새로운 보안 조치에 맞춰 전략을 빠르게 변경해 왔습니다. Microsoft가 모든 Office 애플리케이션에서 매크로를 기본적으로 비활성화한 후, 이 맬웨어는 올해 초 OneNote 파일을 감염 경로로 사용하기 시작했습니다.
QakBot의 정교함과 적응성은 PDF, HTML, ZIP 등 다양한 파일 형식을 무기화하는 데서 비롯됩니다. 이 악성코드의 명령 및 제어 서버는 대부분 미국, 영국, 인도, 캐나다, 프랑스에 위치하고 있으며, 백엔드 인프라는 러시아에 위치한 것으로 추정됩니다.
QakBot은 Emotet 및 IcedID와 마찬가지로 3계층 서버 시스템을 사용하여 감염된 컴퓨터에 설치된 맬웨어를 제어하고 통신합니다. 1차 서버와 2차 서버의 주요 목적은 감염된 컴퓨터와 봇넷을 제어하는 3계층 서버 간의 암호화된 통신을 중계하는 것입니다.
2023년 6월 중순 현재 63개국에서 853개의 1계층 서버가 확인되었으며, 2계층 서버는 주 제어 서버를 가리는 프록시 역할을 하고 있습니다. Abuse.ch에서 수집한 데이터에 따르면 모든 QakBot 서버가 현재 오프라인 상태입니다.
HP Wolf Security에 따르면, QakBot은 2023년 2분기에 18개의 공격 체인과 56개의 캠페인을 기록하며 가장 활발하게 활동한 맬웨어 계열 중 하나였습니다. 이는 범죄 집단이 네트워크 방어 시스템의 취약점을 빠르게 악용하여 불법적인 이익을 취하려는 추세를 보여줍니다.
[광고_2]
소스 링크
댓글 (0)