상세 컨텐츠

본문 제목

WannaCry에 영감을 받은 뱅킹 악성코드, 자체 확산 기술 추가해

국내외 보안동향

by 알약(Alyac) 2017. 8. 3. 15:03

본문

WannaCry Inspires Banking Trojan to Add Self-Spreading Ability


보안연구원들은 최근 랜섬웨어를 전 세계로 효과적으로 유포하기 위하여, 뱅킹 트로이목마에 웜과 유사한 기능 추가를 시도중인 사이버 범죄자 그룹을 발견하였습니다. 


“1000029” (v24)로 알려진 크리덴셜을 훔치는 TrickBot 뱅킹 악성코드의 새로운 변종이, WannaCry와 Petya 랜섬웨어가 악용한 Windows Server Message Block(SMB)를 사용하는 것으로 나타났습니다.


TrickBot은 작년부터 전 세계의 금융 기관들을 노린 뱅킹 악성코드입니다. (자세히 보기)


이 트로이목마는 보통 이름 없는 “국제 금융 기관”의 인보이스로 위장한 이메일 첨부파일을 통해 확산됩니다. 하지만 사용자를 크리덴셜을 훔치는 가짜 로그인 페이지로 이동시킵니다.


지난 주 보안 연구원들은 이 TrickBot 악성코드가 SMB를 통해 로컬 네트워크로 유포될 수 있도록 기능을 탑재한 사실을 발견하였습니다. 


TrickBot의 새 버전은 아직까지 테스트 중인 것으로 보이며, 그렇기 때문에 이 새로운 기능은 아직 완벽히 구현되지 못했습니다. EternalBlue를 악용했던 WannaCry와는 다르게, 이 트로이목마는 랜덤하게 외부 IP를 스캔해 SMB 연결을 찾는 기능도 포함하고 있습니다


연구원들은 이 트로이목마가 NetServerEnum Windows API를 통해 취약한 서버들을 찾기 위해 도메인을 스캔하고, Lightweight Directory Access Protocol (LDAP)를 통해 네트워크 상의 다른 컴퓨터를 열거할 수 있도록 수정 되었다고 말합니다.


이 새로운 TrickBot 변종은 ‘setup.exe’로 위장할 수 있으며, 프로세스 간 통신을 통해 배포되고 공유 된 드라이브에 TrickBot을 다운로드하기 위해 PowerShell 스크립트를 통해 전달될 수 있습니다.


연구원들에 따르면, 최신 TrickBot 변종을 통해 악성 코드의 배후에 있는 운영자들이 가까운 미래에 어떤 기술들을 사용할지 예측할 수 있었다고 합니다.


연구원들은 “웜 모듈이 아직까지는 미숙한 것처럼 보이지만, 이로써 Trickbot 갱이 WannaCry와 NotPetya로부터 배운 웜과 유사한 기술을 구현하려고 시도하고 있음이 분명하다.”고 밝혔습니다.




출처 :

http://thehackernews.com/2017/08/trickbot-banking-trojan.html

https://www.flashpoint-intel.com/blog/new-version-trickbot-adds-worm-propagation-module/



관련글 더보기

댓글 영역