- 2018년부터 꾸준한 활동을 유지하던 아마디 봇이 최근 업그레이드됨
| 아마디 봇 | 2018년 발견 데이터를 훔치는 것이 주 목적 다운로드 및 설치 기능_다른 멀웨어와 악성 페이로드 유포에 사용(갠드크랩 랜섬웨어, 플로드애미 RAT 등) |
| 공격절차 | - 과거에는 폴아웃, 리그 익스플로잇 킷이나 정보 탈취형 멀웨어(애조럴트)를 통해 유포 - 최근에는 드롭퍼(스모크로더)를 통해 유포 - 스모크로더를 소프트웨어 크랙으로 위장하여 사용자들의 다운을 유도 - 다운 후 실행 시 스모크로더 실행, explorer.exe에 악성 페이로드 주입 - 감염된 프로세스를 통해 아마디 봇 다운, 시작 프로그램 폴더에 위치+스케줄러 등록=공격 지속성 확보 - 아마디 봇은 C&C 서버에 접속 후 플러그인 다운_해당 플러그인을 이용해 시스템 정보 획득 수집하는 시스템 정보 : 컴퓨터 이름, 사용자 이름, OS 정보, 설치된 애플리케이션, 백신 정보 등 |
| 특징 | <추가된 기능> - 14개 회사에서 만든 백신을 찾아 우회하는 기능 - 스케줄러를 통해 공격 지속성 확보 - 보다 많은 정보 수집 - UAC 우회 - 다른 멀웨어 다운로드 |
- 보안뉴스
아마디 봇의 새로운 버전, 더 은밀하게 더 집요하게
지난 2년 동안 활발하게 활동했던 멀웨어인 아마디 봇(Amadey Bot)의 변종이 새로운 기능을 탑재하여 나타났다. 이 때문에 아마디 봇은 이전보다 더 은밀하고, 더 집요하며, 훨씬 더 위험한 멀웨어
www.boannews.com
'보안뉴스' 카테고리의 다른 글
| 브라우저 즐겨찾기 동기화, 사이버 공격에 악용될 수 있다 (0) | 2022.08.02 |
|---|---|
| [긴급] 한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다 (0) | 2022.07.28 |
| 수수께끼 투성이 멀웨어 클라우드멘시스, 맥OS 사용자 정교하게 노려 (0) | 2022.07.26 |
| 화려하게 등장했던 해킹 단체 랩서스, 왜 요즘 조용한가 (0) | 2022.07.26 |
| 마이크로소프트와 구글의 소프트웨어 업데이트로 위장한 새 랜섬웨어 (0) | 2022.07.16 |