포스팅 내용

국내외 보안동향

새로운 버전의 Kronos 뱅킹 악성코드 발견!

New Version of the Kronos Banking Trojan Discovered


보안 연구원들이 Kronos 뱅킹 트로이목마의 새로운 버전이 활동을 시작했다고 밝혔습니다. 그들은 2014년 전성기였던 이 트로이목마의 개량 된 버전을 퍼뜨리는 캠페인 최소 3개를 발견했다고 말했습니다.


Proofpoint의 연구원들에 따르면, 새로운 Kronos 변종의 첫번째 샘플은 올 4월 발견 되었습니다.


초기 샘플들은 테스트로 보였으나, 실제 캠페인은 6월 말부터 시작 되었습니다. 연구원들은 이 시기부터 이 새로운 버전을 실제 사용자들에게 배포하는 악성 스팸 및 익스플로잇 키트를 탐지할 수 있었습니다.


독일, 일본, 폴란드를 노래는 캠페인


Proofpoint는 독일, 일본, 폴란드의 은행 사용자들을 노리는 캠페인 3개 및 테스트 공격 1회를 발견하였습니다.


기간

 캠페인 유형

 타겟

 C&C

 6/27-30, 2018

 악성 스팸, 악성 매크로가 포함 된 워드 문서

 독일 금융 기관 5곳의 고객

 hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php

 7/13, 2018

 RIG EK

 일본 금융 기관 13곳의 고객

 hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php

 7/15-16, 2018

 악성 스팸, CVE-2017-11882

 폴란드 사용자들

 hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php

 7/20, 2018

 소프트웨어 다운로드 사이트

 테스트

 hxxp://mysmo35wlwhrkeez[.]onion/kpanel/connect.php


이 캠페인에서 사용 된 악성코드는 Kronos의 오리지널 버전은 아니며, 2014년 버전과 비교했을 때 여러 업데이트를 받은 것으로 보입니다.


연구원들은 2014년 및 2018년 버전의 코드를 비교했을 때 많은 부분이 중복 된다고 밝혔습니다.


유사한 점은, 2018년 버전이 동일한 Windows API 해싱 기술 및 해시, 문자열 암호화 기술, C&C 암호화 메커니즘, C&C 프로토콜 및 암호화, webinject 포맷(Zeus 포맷), 그리고 유사한 C&C 패널 파일 레이아웃을 사용한다는 점입니다.


두 버전의 가장 큰 차이점은 2018년 버전이 Tor 호스팅 C&C 제어판을 사용한다는 것입니다.



Kronos 2018년 버전, 새로운 Osiris 트로이목마가 될 수 있어


연구원들이 Kronos의 변종의 급증을 발견한 것과 동일한 시기에, 한 악성코드 제작자는 해킹 포럼에 Osiris 라는 새로운 뱅킹 트로이목마를 광고하기 시작했습니다.


연구원들은 Osiris 악성코드의 샘플을 얻지는 못했지만, 해당 광고의 내용을 살펴본 결과 Kronos 2018년 버전과 완벽하게 동일하다고 밝혔습니다.


가장 큰 단서는 Osiris의 크기입니다. 이 제작자는 Osiris가 350KB라 광고하고 있으며, Kronos 2018년 초기 샘플은 351KB입니다. 또한 우연히도, 이 샘플의 이름은 os.exe였습니다.





출처 : 


티스토리 방명록 작성
name password homepage