새로운 변종 원격 액세스 트로이목마 ‘반두크(Bandook)’가 피싱 공격을 통해 윈도우 시스템에 침투하기 위해 전파되는 것이 포착됐다. 악성코드는 계속 진화하고 있다.

지난 2023년 10월에 이 활동을 확인한 포티넷 포티가드랩은 이 멀웨어가 암호로 보호된 .7z 아카이브 링크가 포함된 PDF 파일을 통해 배포됐다고 전했다.

2007년에 처음 발견된 반두크는 감염된 시스템을 원격으로 제어할 수 있는 다양한 기능을 갖춘 멀웨어다.

2021년 7월, 사이버 보안 기업 이셋(ESET)은 베네수엘라 등 스페인어권 국가 기업 네트워크를 침해하기 위해 업그레이드된 반두크 변종을 활용한 사이버 공격에 대해 자세히 설명한 바 있다.

최신 공격 시작점은 컴퓨터 문제를 진단하기 위해 시스템 정보를 수집하는 윈도우 바이너리 msinfo32.exe에 페이로드를 해독하고 로드하도록 설계된 인젝터 구성 요소다.

이 멀웨어는 감염된 호스트에서 지속성을 확보하기 위해 윈도우 레지스트리를 변경하는 것 외에도 명령 및 제어(C2) 서버와 연결해 추가 페이로드와 지침을 검색한다.

이런 작업은 파일 조작, 레지스트리 조작, 다운로드, 정보 탈취, 파일 실행, C2에서 DLL 함수 호출, 피해자 컴퓨터 제어, 프로세스 킬링 등을 수행할 수 있다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★