TA551(Shathak) 카지노 꽁 분석 보고서

​

TA551(Shathak이라고도 함)은 2019년부터 피싱 이메일을 통해 꾸준히 카지노 꽁를 배포하고 있습니다.

TA551 그룹은 지난 몇 년 동안 Ursnif, Valak 및 IcedID 등의 다양한 맬웨어 계열을 유포했으나, 2021년 6월부터는 IcedID 유포를 중단하고 Trickbot을 유포하기 시작했습니다. TA551은 2021년 8월부터는 Trickbot 배포를 중단하고 BazarLoader를 배포하기 시작했습니다.

TA551은 여러 해 동안 다양한 카지노 꽁를 배포하였으나, 최근에는 Bazar 카지노 꽁를 배포하기 시작하였으며 Bazar 카지노 꽁는 탐지 회피 및 은폐에 중점을 두고 있는 카지노 꽁입니다. 카지노 꽁 제작자는 코드를 최대한 난독화하고 다른 프로세스의 컨텍스트에서 실행함으로써 동작하는 동안 최종 페이로드를 숨깁니다.

탐지를 더욱 회피하기 위해 Bazar 로더와 백도어는 블록체인 도메인을 사용함으로써 C2서버와의 네트워크 통신을 차단할 수 없도록 하고 있습니다. 따라서 카지노 꽁 감염을 방지하기 위해 출처가 불분명한 이메일의 첨부 파일 혹은 URL 클릭을 삼가야 하며, 백신의 최신화 및 정기적인 검사를 습관화하여야 합니다.