새로운 버전의 Kronos 뱅킹 악성코드 발견!

New Version of the Kronos Banking Trojan Discovered

보안 연구원들이 Kronos 뱅킹 트로이목마의 새로운 버전이 활동을 시작했다고 밝혔습니다. 그들은 2014년 전성기였던 이 트로이목마의 개량 된 버전을 퍼뜨리는 캠페인 최소 3개를 발견했다고 말했습니다.

Proofpoint의 연구원들에 따르면, 새로운 Kronos 변종의 첫번째 샘플은 올 4월 발견 되었습니다.

초기 샘플들은 테스트로 보였으나, 실제 캠페인은 6월 말부터 시작 되었습니다. 연구원들은 이 시기부터 이 새로운 버전을 실제 사용자들에게 배포하는 악성 스팸 및 익스플로잇 키트를 탐지할 수 있었습니다.

독일, 일본, 폴란드를 노래는 캠페인

Proofpoint는 독일, 일본, 폴란드의 은행 사용자들을 노리는 캠페인 3개 및 테스트 공격 1회를 발견하였습니다.

기간	캠페인 유형	타겟	C&C
6/27-30, 2018	악성 스팸, 악성 매크로가 포함 된 워드 문서	독일 금융 기관 5곳의 고객	hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php
7/13, 2018	RIG EK	일본 금융 기관 13곳의 고객	hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php
7/15-16, 2018	악성 스팸, CVE-2017-11882	폴란드 사용자들	hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php
7/20, 2018	소프트웨어 다운로드 사이트	테스트	hxxp://mysmo35wlwhrkeez[.]onion/kpanel/connect.php

이 캠페인에서 사용 된 악성코드는 Kronos의 오리지널 버전은 아니며, 2014년 버전과 비교했을 때 여러 업데이트를 받은 것으로 보입니다.

연구원들은 2014년 및 2018년 버전의 코드를 비교했을 때 많은 부분이 중복 된다고 밝혔습니다.

유사한 점은, 2018년 버전이 동일한 Windows API 해싱 기술 및 해시, 문자열 암호화 기술, C&C 암호화 메커니즘, C&C 프로토콜 및 암호화, webinject 포맷(Zeus 포맷), 그리고 유사한 C&C 패널 파일 레이아웃을 사용한다는 점입니다.

두 버전의 가장 큰 차이점은 2018년 버전이 Tor 호스팅 C&C 제어판을 사용한다는 것입니다.

Kronos 2018년 버전, 새로운 Osiris 트로이목마가 될 수 있어

연구원들이 Kronos의 변종의 급증을 발견한 것과 동일한 시기에, 한 악성코드 제작자는 해킹 포럼에 Osiris 라는 새로운 뱅킹 트로이목마를 광고하기 시작했습니다.

연구원들은 Osiris 악성코드의 샘플을 얻지는 못했지만, 해당 광고의 내용을 살펴본 결과 Kronos 2018년 버전과 완벽하게 동일하다고 밝혔습니다.

가장 큰 단서는 Osiris의 크기입니다. 이 제작자는 Osiris가 350KB라 광고하고 있으며, Kronos 2018년 초기 샘플은 351KB입니다. 또한 우연히도, 이 샘플의 이름은 os.exe였습니다.

출처 : 

https://www.bleepingcomputer.com/news/security/new-version-of-the-kronos-banking-trojan-discovered/

https://www.proofpoint.com/us/threat-insight/post/kronos-reborn