[소만사 악성코드 분석리포트 ] 악성코드 로더 ‘Bumblebee’
Conti, Diavol 등 랜섬웨어 유포에 악용 유로폴 국제수사 후 사라졌다 재등장
1. 요약
1) 범블비는 최초 침투 로더로 피해자의 시스템에 제일 먼저 파고들어간 후 길을 만들어 추가 악성코드, 랜섬웨어 설치를 유도함
2) 콘티(Conti), 디아볼(Diavol) 랜섬웨어 배포 조직에서도 범블비를 통해 랜섬웨어를 유포한 바 있음
3) 범블비의 유포전략은 DLL과 비슷한 종류의 바이너리를 ISO나 VHD 파일 내부에 주입하여 메일로 전송하는 것이 일반적
4) 24년 5월 ‘EndGame’ 이라는 국제 법 집행 작전으로 잠잠해졌으나 최근 새로운 활동 발견
5) 최근 범블비 공격 체인은 피싱 이메일로 시작되어 피해자가 악성 ZIP 아카이브를 다운로드하도록 유도하는 것으로 확인
2. 대응 방안
1) EDR/AV 솔루션 적용 (행위기반으로 차단)
2) 주요 데이터는 주기적인 백업을 통해 시스템 파괴 시에도 복구가 가능하도록 대비
3) 논리적 망분리(VDI)를 적용하여 악성코드 PC 유입을 원천 차단
4) 신뢰할 수 없는 메일의 첨부파일 실행 금지
5) 비 업무 사이트 및 신뢰할 수 없는 웹사이트의 연결 차단
6) PC취약점 점검과 조치 (OS나 어플리케이션은 가급적 최신 버전 유지하며 취약점 점검 및 조치)