언더그라운드 포럼에서 판매되는 원격접속 트로이목마(RAT)는 감염된 컴퓨터에서 지속성을 유지하기 위해 토르(Tor) 를 이용하도록 진화했다.

SystemBC는 SOCK5 프록시를 통해 VPN(가상 사설명)으로써 토르 네트워크를 활용해 지속성 설정을 함으로써 연결된 C2 서버 추적을 더 어렵게 하는 백도어로 진화했다. 랜섬웨어 운영자를 포함한 구매자들 사이에서 인기가 높아진 이유다.

소포스랩 연구원들에 따르면, 윈도우 기반 SystemBC 멀웨어는 윈도우 명령을 실행하고, 스크립트를 배포하고, 악성 DLL을 구현하며, 원격 관리 및 모니터링을 수행하고, 명령을 수신하기 위해 멀웨어를 C2에 연결할 수 있는 백도어를 설정할 수 있다.

일단 배포되면 RAT는 서비스로서 자신을 복사하고 스케줄링하지만 바이러스 백신 소프트웨어가 감지되면 이 단계를 건너 뛴다. 그런 다음 C2에 대한 연결은 경량 토르 클라이언트 뿐만 아니라 샘플들에서 다양한 주소를 가진 두 개의 하드 코딩된 도메인 중 하나에 기반한 원격 서버에 대한 비콘(beacon) 연결을 통해 설정된다.

지난 몇 달 동안 SystemBC는 Ryuk 및 Egregor 랜섬웨어 공격을 포함해 수백 건의 멀웨어 배포에서 사용된 것으로 조사됐다. 사이버 공격자가 공격에서 서버 자격 증명에 대한 액세스 권한을 얻은 후 백도어를 배포했으며 SystemBC는 사용된 주요 멀웨어 변종의 지속성을 유지하는 역할을 한다.

SystemBC는 언더그라운드 포럼에서 이루어진 멀웨어 서비스 형태로 거래된 기성 도구로 배포되었으며 경우에 따라 감염된 컴퓨터에 한 번에 며칠 또는 몇 주 동안 존재했다.

특히 SystemBC는 자동화된 공격으로 여러 타깃을 동시에 공격할 수 있다는 것도 특징이다. 또 공격자가 적절한 자격 증명을 얻을 경우 윈도우 기본 제공 도구를 사용해 랜섬웨어를 직접 배포할 수 있어 공격자들 사이에서 가장 인기를 얻고 있다.

★정보보안 대표 미디어 데일리시큐!★