고급 기능을 저렴하게 제공해 사이버 공격자를 돕는 플랫폼 'Dark Utilities'

세계 최대의 컴퓨터 네트워크 기기 회사 Cisco의 위협 인텔리전스팀 Talos가 사이버공격을 할 때 사용되는 C2(C&C:Command&Control) 서버를 쉽게 준비해 준다는 'Dark Utilities'라는 서비스의 존재를 폭로했습니다. 이용료는 9.99유로(약 13700원)로 약 3000명이 등록한 상태라고 합니다.

Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Attackers leveraging Dark Utilities "C2aaS" platform in malware campaigns
http://blog.talosintelligence.com/2022/08/dark-utilities.html

Attackers leveraging Dark Utilities "C2aaS" platform in malware campaigns

Thousands of hackers flock to 'Dark Utilities' C2-as-a-Service
https://www.bleepingcomputer.com/news/security/thousands-of-hackers-flock-to-dark-utilities-c2-as-a-service/

Thousands of hackers flock to 'Dark Utilities' C2-as-a-Service

Talos에 의하면 Dark Utilities는 2022년 초에 확립된 C2aaS(C2-as-a-Service) 모델의 C2 플랫폼. 사이버공격을 받은 피해자 시스템에서 실행되는 코드로 구성된 페이로드를 제공하고 피해자의 시스템을 서비스에 등록하여 C2 통신채널을 설정합니다. Windows, Linux 및 Python 기반 페이로드를 지원하며 공격자는 개발 리소스를 할당하지 않고도 여러 아키텍처를 대상으로 할 수 있다는 것.

Dark Utilities를 만든 Inplex-sys라는 집단은 Discord와 Telegram에서 지원을 제공하고 있습니다. Talos의 조사에서도 뚜렷한 정체는 알 수 없었고 활동기간은 그다지 길지 않다는 것. 또 Inplex-sys가 단독으로 관리와 개발을 했다는 징후도 없다고 합니다.

조사에 의하면 Steam에서 Inplex-sys의 이름이 사용되고 있고 Dark Utilities를 선전하는 활동과 동시에 Discord나 Twitch의 공격에 사용되는 Smart Bot에도 링크가 존재하는 것으로 보아 Smart Bot 프로젝트에 종사하는 여러 개인이 Inplex-sys와 협력관계에 있는 것으로 보입니다.

덧붙여 플랫폼, 관련 페이로드 및 API 엔드 포인트에 프리미엄 액세스를 이용하기 위한 비용은 9.99유로로 등록자 수는 3000명 정도.

제공하는 기능의 내용에 비해 비교적 저렴한 가격으로 멀웨어에 독자적인 C2 구현을 작성하지 않고 시스템을 침해하려고 의도하는 공격자에게 매력적으로 비칠 가능성이 있어서 향후도 유저 수는 증가할 것으로 보입니다. 또한 이러한 종류의 C2aaS 모델 플랫폼은 개발력이 그다지 높지 않은 공격자에게 고도의 기능을 부여해 다양한 OS를 표적으로 한 공격을 신속하게 시작할 수 있도록 하기 때문에 기업과 조직은 이러한 플랫폼을 확실히 인식하고 보안과 제어를 확실하게 구현해야 한다고 Talos는 경고했습니다.