(Trojan.Agent.Amadey) 악성코드 분석 보고서


안녕하세요? 동방안보보안대응센터(ESRC)입니다.

지난해 국내에서 10월경 락비트 랜섬웨어를 유포하는 것으로 알려진 공격 그룹 아마데이 봇상황, 모듈을 통해 정보 도용 등의 기능을 수행하는 것으로 알려져 있다.

. 또한 최근 일부가 해외에서 유통되고 있는 사실도 확인됐다.

.

아마데이주요 기능은 감염입니다.

개인용 컴퓨터의 정보 획득 및 전송 및 명령 제어 기능, 그리고 추가 모듈을 다운로드하여 애플리케이션 자격 증명을 도용하고 클립보드에 저장된 암호화폐 지갑 주소를 하이재킹하는 기능을 수행합니다.

.


(이미지) 인젝터 페이로드 코드 다운로드

‘아마데이’ 악성코드는 사용자 개인용 컴퓨터 정보 수집 및 전송 기능을 가진 악성코드이다.

. 또한 추가 모듈을 다운로드하여 기본 기능을 제외하고 클립보드에 저장된 암호화폐 주소를 변경할 수 있습니다.

, 애플리케이션 자격 증명 정보를 도용하는 추가 기능 수행 가능.

비즈니스가 이러한 유형의 맬웨어에 감염되거나 노출된 경우, 크리덴셜 스터핑과 같은 공격은 감염된 직원을 지속적으로 노렸습니다.

2자동차 위협에 노출될 수 있는 부품 외에도 이스트시큐리티필 블로그(https://blog.alyac.co.kr/4968)에 공개된 바와 같이, 향후 한국을 대상으로 하는 다른 악성코드와 함께 유포될 수 있으므로 주의가 필요합니다.

따라서 이 악성 코드에 감염되지 않으려면 출처를 알 수 없는 웹 사이트에 있어야 합니다.

URL, 파일 다운로드 방지.

현재 Alyaq은 관련 악성코드를 사용하고 있습니다.

“트로이 목마. 요원. 아마데이”진단.