상세 컨텐츠

본문 제목

새로운 버전의 Kronos 뱅킹 악성코드 발견!

국내외 보안동향

by 알약(Alyac) 2018. 7. 27. 10:30

본문

New Version of the Kronos Banking Trojan Discovered


보안 연구원들이 Kronos 뱅킹 트로이목마의 새로운 버전이 활동을 시작했다고 밝혔습니다. 그들은 2014년 전성기였던 이 트로이목마의 개량 된 버전을 퍼뜨리는 캠페인 최소 3개를 발견했다고 말했습니다.


Proofpoint의 연구원들에 따르면, 새로운 Kronos 변종의 첫번째 샘플은 올 4월 발견 되었습니다.


초기 샘플들은 테스트로 보였으나, 실제 캠페인은 6월 말부터 시작 되었습니다. 연구원들은 이 시기부터 이 새로운 버전을 실제 사용자들에게 배포하는 악성 스팸 및 익스플로잇 키트를 탐지할 수 있었습니다.


독일, 일본, 폴란드를 노래는 캠페인


Proofpoint는 독일, 일본, 폴란드의 은행 사용자들을 노리는 캠페인 3개 및 테스트 공격 1회를 발견하였습니다.


기간

 캠페인 유형

 타겟

 C&C

 6/27-30, 2018

 악성 스팸, 악성 매크로가 포함 된 워드 문서

 독일 금융 기관 5곳의 고객

 hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php

 7/13, 2018

 RIG EK

 일본 금융 기관 13곳의 고객

 hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php

 7/15-16, 2018

 악성 스팸, CVE-2017-11882

 폴란드 사용자들

 hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php

 7/20, 2018

 소프트웨어 다운로드 사이트

 테스트

 hxxp://mysmo35wlwhrkeez[.]onion/kpanel/connect.php


이 캠페인에서 사용 된 악성코드는 Kronos의 오리지널 버전은 아니며, 2014년 버전과 비교했을 때 여러 업데이트를 받은 것으로 보입니다.


연구원들은 2014년 및 2018년 버전의 코드를 비교했을 때 많은 부분이 중복 된다고 밝혔습니다.


유사한 점은, 2018년 버전이 동일한 Windows API 해싱 기술 및 해시, 문자열 암호화 기술, C&C 암호화 메커니즘, C&C 프로토콜 및 암호화, webinject 포맷(Zeus 포맷), 그리고 유사한 C&C 패널 파일 레이아웃을 사용한다는 점입니다.


두 버전의 가장 큰 차이점은 2018년 버전이 Tor 호스팅 C&C 제어판을 사용한다는 것입니다.



Kronos 2018년 버전, 새로운 Osiris 트로이목마가 될 수 있어


연구원들이 Kronos의 변종의 급증을 발견한 것과 동일한 시기에, 한 악성코드 제작자는 해킹 포럼에 Osiris 라는 새로운 뱅킹 트로이목마를 광고하기 시작했습니다.


연구원들은 Osiris 악성코드의 샘플을 얻지는 못했지만, 해당 광고의 내용을 살펴본 결과 Kronos 2018년 버전과 완벽하게 동일하다고 밝혔습니다.


가장 큰 단서는 Osiris의 크기입니다. 이 제작자는 Osiris가 350KB라 광고하고 있으며, Kronos 2018년 초기 샘플은 351KB입니다. 또한 우연히도, 이 샘플의 이름은 os.exe였습니다.





출처 : 


관련글 더보기

댓글 영역