SystemBC 악성코드, 법 집행 노력에도 1만 대 감염 급증

최근 SystemBC 악성코드의 재유행으로 1만 대 이상의 장비가 감염되었습니다. 이는 랜섬웨어 배포 및 감염 시스템을 트래픽 프록시로 악용하는 것으로 알려진 SystemBC가 법 집행 기관의 인프라 해체 노력에도 불구하고 여전히 전 세계 조직에 심각한 위협이 되고 있음을 보여줍니다.

감염 급증의 주요 내용

2019년에 처음 발견된 SystemBC는 프록시 악성코드로, 위협 행위자들이 감염된 기기를 통해 악성 트래픽을 우회시키는 동시에 랜섬웨어와 같은 2차 페이로드를 전달하는 기능을 합니다. 이번 감염 급증은 사이버 범죄 조직의 운영을 완전히 차단하는 것이 얼마나 어려운지를 보여줍니다.

보안 연구진에 따르면, SystemBC의 명령 및 제어(C2) 인프라가 진화하여 탐지를 회피하고 운영 지속성을 유지하고 있다고 합니다. 최신 감염 사례에서는 위협 행위자들이 피싱 캠페인, 익스플로잇 키트, 패치되지 않은 취약점을 악용해 악성코드를 확산시키고 있는 것으로 나타났습니다.

SystemBC의 기술적 분석

SystemBC는 백도어 및 프록시 도구로 작동하며, 공격자에게 다음과 같은 기능을 제공합니다:

• 감염 시스템에 대한 원격 접근
• SOCKS5 프록시 기능을 통한 트래픽 은닉
• 랜섬웨어, 정보 탈취 악성코드 등 페이로드 전달

일반적으로 SystemBC는 다음과 같은 경로를 통해 초기 접근을 시도합니다:

• 취약점 악용 (예: 패치되지 않은 소프트웨어, 잘못 구성된 서비스)
• 악성 이메일 첨부 파일 또는 링크
• 타사 소프트웨어의 취약점

설치되면 SystemBC는 지속성을 유지하며 C2 서버와 통신하며, 암호화된 채널을 사용하여 네트워크 기반 탐지를 회피합니다.

영향 및 위험성

최근 감염 급증은 사이버 범죄 생태계의 회복력을 보여줍니다. 주요 위험 요소는 다음과 같습니다:

• 랜섬웨어 배포로 인한 데이터 암호화 및 금전 요구
• 2차 악성코드 감염을 통한 데이터 유출
• 감염 장비의 악성 트래픽 라우팅 악용으로 인한 공격 출처 은닉

의료, 금융, 중요 인프라 분야의 조직이 주요 표적이 되고 있으며, 이는 이들 분야의 데이터 가치와 운영 의존도가 높기 때문입니다.

대응 및 완화 권고 사항

SystemBC로부터 조직을 보호하기 위해 보안 팀은 다음 조치를 취해야 합니다:

1. 패치 관리 – 원격 접근 도구 및 웹 애플리케이션의 알려진 취약점에 대한 패치를 우선 적용합니다.
2. 네트워크 모니터링 – 예상치 못한 SOCKS5 프록시 사용 등 비정상적인 트래픽 패턴을 탐지합니다.
3. 엔드포인트 보호 – 고급 위협 탐지 솔루션을 배포하여 악성 페이로드를 식별하고 차단합니다.
4. 사용자 교육 – 피싱 시도 인식 및 의심스러운 다운로드 회피에 대한 직원 교육을 실시합니다.
5. 사고 대응 계획 – 랜섬웨어 대응을 위한 백업 전략 및 격리 프로토콜을 준비합니다.

결론

SystemBC의 지속적인 확산은 현대 사이버 위협의 적응력을 보여줍니다. 법 집행 기관의 일시적인 차단 노력에도 불구하고, 사이버 범죄자들은 빠르게 재조직화되며, 이를 효과적으로 대응하기 위해서는 적극적인 방어 전략과 협력적 위협 정보 공유가 필수적입니다.

추가 정보는 SecurityWeek의 SystemBC 관련 뉴스를 참고하시기 바랍니다.