봇 배포 및 설치
Phorpiex 멀웨어 감염은 드롭퍼의 전달로 시작됩니다. 이 드롭퍼는 다음과 같은 다양한 방법을 통해 시스템에 배포됩니다:
- 감염된 USB 드라이브
- 인스턴트 메시징을 통한 피싱
- 멀웨어, 프리웨어 및 원치 않는 프로그램에 의해 삭제됨
- 피싱 이메일
- 합법적인 소프트웨어를 제공한다고 주장하는 사이트에서의 다운로드
- 자체 확산을 위한 웜 모듈 통합
드롭퍼가 시스템에 설치되어 실행되면 Phorpiex 명령 및 제어(C2) 서버와 통신합니다. 이러한 서버는 Phorpiex 멀웨어와 특정 기능을 제공하는 추가 업로드 또는 모듈을 제공합니다. 2021년에 새로 업데이트된 Twizt는 활성 C2 서버가 없을 때 멀웨어가 P2P(피어 투 피어) 모드로 작동할 수 있도록 합니다.
봇넷이 수익을 창출하는 주요 방법
포피엑스 봇넷은 주로 운영자를 위한 수익 창출 수단으로 사용됩니다. 봇넷의 도달 범위가 수익을 창출하는 몇 가지 방법은 다음과 같습니다:
- 강탈: Phorpiex 봇넷은 성착취 사기를 수행하는 데 사용되었습니다. 감염된 시스템은 공격자가 보유하고 있는 것으로 추정되는 손상된 동영상을 공개하지 않는 대가로 몸값을 갈취하는 스팸 이메일을 보냅니다.
- 크립토재킹: 크립토재킹 멀웨어는 감염된 컴퓨터의 연산 능력을 사용하여 공격자를 대신하여 암호화폐를 채굴합니다. 이를 통해 공격자는 인프라와 전기료를 지불하지 않고도 작업 증명 블록체인에서 새로운 블록을 생성하여 보상을 받을 수 있습니다.
- 암호화폐 클리핑: 블록체인에서 암호화폐를 전송하려면 사용자는 16진수로 인코딩된 큰 값인 대상 주소를 입력해야 합니다. 이렇게 쉽게 식별할 수 있는 주소는 일반적으로 시스템 클립보드를 사용하여 복사하여 붙여넣기합니다. 암호화폐 클리퍼 멀웨어는 공격자가 제어하는 주소를 의도한 표적의 주소로 대체하여 결제를 봇넷 운영자에게 리디렉션합니다.
- 멀웨어 전달: Phorpiex 봇넷은 감염된 시스템에 광범위한 멀웨어를 전달하는 데 사용되었습니다. 이를 통해 봇넷 운영자는 손상된 시스템에 대한 액세스 권한을 판매하여 Phorpiex의 도달 범위로 수익을 창출할 수 있습니다.
- 랜섬웨어 공격: 포피엑스 봇넷은 다른 사이버 위협 공격자의 멀웨어를 전달하는 것 외에도 랜섬웨어 공격에 사용되기도 했습니다. 이를 통해 봇넷 운영자는 암호화된 데이터에 대한 액세스 권한을 복원하기 위해 몸값을 갈취하여 돈을 벌 수 있습니다.
- 데이터 도난: Phorpiex는 감염된 컴퓨터에서 점점 더 많은 데이터를 훔쳐서 유출하고 있습니다. 이 정보는 다른 시스템 및 온라인 계정에 액세스하거나 사기 또는 후속 공격을 가능하게 하는 데 사용될 수 있습니다.
포피엑스의 용도
Phorpiex는 잘 알려진 대규모 봇넷입니다. 그 결과 멀웨어 전달, 스팸 이메일 전송 등 몇 가지 다른 용도로 사용됩니다.
멀웨어 전송 봇넷
포피엑스 봇넷은 다양한 멀웨어 변종을 전달하는 데 사용되었습니다. 봇넷이 전달하는 멀웨어의 유형에는 다음이 포함됩니다:
추가 멀웨어를 전달할 수 있는 이러한 능력은 Phorpiex를 심각하고 위험한 위협으로 만듭니다. 봇넷이 감염된 컴퓨터에 거점을 확보하면 여러 공격자에게 시스템에 대한 액세스 권한이 제공되고 다양한 유형의 멀웨어에 감염될 수 있습니다.
메일 봇넷
포피엑스 봇넷의 또 다른 주요 용도는 메일 발송자입니다. Phorpiex는 다음과 같은 다양한 스팸 이메일을 보내는 것으로 알려져 있습니다:
피드백