DanaBot 뱅킹 악성코드, Operation Endgame 이후 부활: 최신 버전 669와 강화된 인프라
최근 Operation Endgame 작전으로 타격을 입었던 악명 높은 뱅킹 악성코드 DanaBot이 재등장했습니다. 보안 연구원 Zscaler는 DanaBot이 재구축된 인프라를 기반으로 버전 669로 다시 나타났다고 밝혔습니다. "DanaBot은 5월에 있었던 Operation Endgame 법 집행 조치 이후 거의 6개월 만에 버전 669로 다시 등장했습니다."라고 Zscaler는 발표했습니다.
DanaBot, 암호화폐 탈취 기능 강화
Zscaler는 DanaBot의 새로운 C2 (Command and Control) 인프라 IP 주소와 피해자 자금 탈취에 사용되는 새로운 암호화폐 지갑 주소 목록을 공개했습니다. DanaBot은 이제 BTC, ETH, LTC 및 TRX로 자금을 받을 수 있습니다. 이는 이전 버전보다 암호화폐 탈취 범위를 확대한 것으로 분석됩니다.
DanaBot의 위협적인 기능
DanaBot은 모듈식 Windows 뱅킹 악성코드로, 광범위한 위험 기능을 갖추고 있습니다. 공격자는 플러그인 기반 아키텍처를 통해 웹 인젝션 및 폼 그래빙을 포함한 추가 페이로드를 로드하여 은행 자격 증명, 브라우저 쿠키 및 암호를 훔칠 수 있습니다. 또한 키로깅 및 화면 캡처, 원격 액세스 및 제어, 암호화된 C2 통신 및 다양한 지속성 메커니즘을 지원합니다.
Operation Endgame의 성과와 DanaBot의 재등장
DanaBot은 2018년 5월 호주 은행 고객을 대상으로 처음 발견되었으며, 이후 유럽과 북미를 포함한 다른 지역으로 확산되었습니다. Operation Endgame이라는 법 집행 작전으로 인해 잠시 자취를 감췄었지만, 이번 재등장으로 Operation Endgame의 효과에 대한 의문이 제기되고 있습니다. Operation Endgame은 Europol이 주도하는 국제적인 작전으로, 랜섬웨어 및 기타 대규모 사이버 범죄를 가능하게 하는 악성 코드 전달 생태계와 초기 액세스 인프라를 파괴하는 것을 목표로 합니다. IcedID, Smokeloader, Qakbot, Trickbot과 같은 악성 코드 및 로더 운영이 Operation Endgame을 통해 이미 중단되었습니다.
DanaBot 공격 방어를 위한 조직의 노력
DanaBot의 재등장에 대응하기 위해 조직은 Zscaler의 새로운 침해 지표 (IoC)를 차단 목록에 추가하고 새로운 시그니처로 보안 스택을 업데이트해야 합니다. 지속적인 모니터링과 최신 보안 패치 적용은 DanaBot과 같은 악성 코드로부터 시스템을 보호하는 데 필수적입니다.
맺음말
DanaBot의 재등장은 사이버 보안 위협이 끊임없이 진화하고 있음을 보여줍니다. 조직은 최신 위협 정보에 대한 지속적인 업데이트와 함께 강력한 보안 조치를 구현하여 DanaBot과 같은 악성 코드로부터 자신을 보호해야 합니다.
