Venom Spider의 새로운 악성코드: 우리는 준비되어 있을까?

안녕하세요!
오늘은 Venom Spider라는 이름의 악명 높은 위협 행위자가 어떻게 사이버 세계에서 자신의 플랫폼을 확장하고 있는지 이야기해볼게요.
특히, 새로운 악성코드와 관련된 침해 지표(IoC) 정보도 함께 다뤄보겠습니다.
관심 있으신가요? 그럼 바로 시작해볼게요! 😊

Venom Spider가 또 일을 냈다!

Venom Spider는 악성코드-서비스(MaaS) 플랫폼을 운영하며, 여러 해커 그룹에 도구를 제공하는 위협 행위자예요.
최근 RevC2와 Venom Loader라는 새로운 악성코드가 관찰되었는데요.
이들은 피싱 캠페인을 통해 배포되며, 탐지를 회피하고 피해자 시스템에 맞춤형 공격을 가하는 것이 특징입니다.

새로운 악성코드의 특징은?

1. RevC2

• 미끼 사용: API 문서로 위장한 PNG 이미지를 다운로드합니다. (예: "APFX Media API Documentation")
• 탐지 회피: 특정 시스템 조건을 두 번 점검한 후 조건이 충족되면 실행합니다. 분석 환경(샌드박스 등)에서는 작동하지 않도록 설계된 거죠.
• 주요 기능:
  • C2 서버와 통신 (C++ 라이브러리 "websocketpp" 사용)
  • Chromium 브라우저에서 비밀번호와 쿠키 탈취
  • 스크린샷 캡처
  • SOCK5 프로토콜을 사용해 네트워크 데이터 프록시 처리
  • 탈취한 자격증명으로 명령 실행

2. Venom Loader

• 맞춤형 공격: 각 피해자의 컴퓨터 이름을 기반으로 DLL 파일을 암호화해 맞춤화된 공격을 진행합니다.
• 단계적 실행: "More_Eggs lite"라는 백도어를 실행해 원격 코드 실행(RCE)을 가능하게 합니다.

 

침해 지표(IoC): 방어를 위한 단서

침해 지표(IoC)는 공격을 탐지하고 방어할 수 있는 중요한 데이터예요. Venom Spider 관련 캠페인에서 관찰된 주요 IoC는 다음과 같아요:

• 파일 해시: 악성코드 샘플의 고유 ID
• 악성 URL 및 IP:
  • 예: hxxp://170.75.168[.]151/%computername%/aaa
• 도메인 이름:
  • 예: gdrive.rest
• 악성 파일 이름:
  • 예: API.png, VenomLNK

Zscaler는 GitHub에 RevC2의 WebSocket 서버를 에뮬레이션할 수 있는 Python 스크립트를 제공하며, IoC 목록도 공개했습니다.
이를 활용하면 조직 내 시스템에서 악성코드 흔적을 탐지할 수 있어요.

앞으로의 전망: 더 강력해질 MaaS

ThreatLabz는 이번에 발견된 악성코드들이 초기 버전일 뿐이며,
앞으로 더 많은 기능과 탐지 회피 기술이 추가될 것으로 보고 있습니다. 😟
그렇다면 우리는 어떻게 대응해야 할까요?

1. 예방: 공격의 첫 단계를 차단하라

보안 훈련 강화

• 피싱 예방 교육: 대부분의 MaaS 기반 공격은 피싱 이메일로 시작됩니다. 직원들에게 이메일 첨부파일이나 URL을 클릭하기 전에 확인하는 방법을 교육하세요.
• 실습 기반 훈련: 모의 피싱 캠페인을 실행하여 직원들이 실제 위협 상황을 체험하고 대처 능력을 키울 수 있도록 돕습니다.

지능형 이메일 필터링 도입

• 피싱 이메일을 탐지하고 차단할 수 있는 AI 기반 이메일 보안 솔루션을 도입하세요.

소프트웨어 업데이트 및 패치 관리

• 악성코드가 시스템을 악용하지 못하도록 소프트웨어와 운영체제를 항상 최신 상태로 유지하세요.

---

2. 탐지: 빠르게 확인하고 차단하라

침해 지표(IoC) 활용

• Venom Spider와 관련된 IoC(예: URL, 파일 해시, IP 주소 등)를 정기적으로 보안 시스템에 업데이트하여
  탐지 능력을 강화하세요.
• 위협 인텔리전스 플랫폼을 활용해 새로운 IoC 정보를 빠르게 수집하고 반영합니다.

샌드박스 기술 도입

• 악성코드를 분석하고 탐지할 수 있는 샌드박스 환경을 구축하세요. 이 기술은 악성코드가 샌드박스를
  회피하려는 시도를 포착하는 데 효과적입니다.

클라우드 기반 보안 솔루션

• 클라우드 환경을 활용하면 빠른 탐지와 위협 인텔리전스 공유가 가능해집니다.

---

3. 대응: 피해를 최소화하고 신속히 복구하라

사고 대응 플레이북 준비

• 예상 시나리오별로 대응 계획을 미리 수립하세요.
  예를 들어, "피싱 이메일 탐지 시", "C2 서버와의 통신 탐지 시" 등 구체적인 조치를 담아야 합니다.
• 담당자와 의사결정 라인을 명확히 정의해 혼란을 방지하세요.

격리와 복구

• 의심스러운 시스템은 즉시 네트워크에서 분리하고, 포렌식 도구를 활용해 감염 범위를 분석하세요.
• 정기적인 백업을 통해 데이터를 복구하고 랜섬웨어 등의 피해를 최소화하세요.

위협 공유

• Venom Spider 같은 최신 위협 정보를 관련 업계 및 보안 커뮤니티와 공유하여 공동 방어 능력을 강화하세요.

---

4. 장기 전략: 조직 전반의 보안 체계 강화

제로 트러스트(Zero Trust) 모델 도입

• 모든 접근 요청을 검증하고, 최소 권한 원칙을 적용해 내부망 침투를 어렵게 만드세요.

보안 자동화

• 보안 사고 대응 과정을 자동화해 탐지와 대응 속도를 높이세요.
  SOAR(Security Orchestration, Automation, and Response) 같은 도구를 활용할 수 있습니다.

파트너십 구축

• 외부 보안 컨설턴트나 전문 보안 업체와 협력하여 최신 위협에 대비하세요.
  예를 들어, vCISO(가상 보안 책임자)를 통해 전문적인 지원을 받을 수 있습니다.

---

결론: 적극적이고 다층적인 방어가 답이다

MaaS의 발전은 피할 수 없는 현실이지만, 이를 방어할 방법도 발전하고 있습니다. 예방, 탐지, 대응, 복구의 모든 단계를 포괄하는 보안 전략을 구축하고, 정기적으로 시스템과 대응 체계를 점검하세요.

보안은 한 번에 끝나는 일이 아니라 지속적으로 개선해야 하는 과정입니다. 앞으로 더 강력해질 MaaS 위협에 미리 준비한다면, 여러분의 조직은 더 안전한 디지털 환경을 유지할 수 있을 거예요!

 

---

우리 조직은 준비되어 있나요?

Venom Spider 같은 위협 행위자는 계속해서 진화하고, 새로운 방법으로 공격을 시도할 겁니다. 그렇기 때문에 적극적인 방어 체계가 필수입니다.

1. 침해 지표 확인: IoC를 사용해 네트워크와 시스템에서 악성 활동의 증거를 탐지하세요.
2. 최신 보안 툴 활용: 클라우드 기반 보안 플랫폼과 샌드박스 기술을 적극 활용하세요.
3. 사고 대응 계획 마련: "혹시"의 상황에 대비해 체계적인 대응 계획을 준비해 두세요.