OpenSSH와 OpenVPN 키를 훔치는 TrickBot 악성코드의 새 버전 발견

TrickBot Trojan Getting Ready to Steal OpenSSH and OpenVPN Keys

보안 연구원들이 Trickbot 뱅킹 악성코드가 OpenSSH 개인 키와 OpenVPN 패스워드, 구성 파일을 훔칠 수 있는 패스워드 스틸러 모듈을 업데이트하는 등 꾸준히 진화하고 있다고 밝혔습니다.

 

TrickBot(Trickster, TrickLoader, TheTrick으로도 알려짐)은 모듈형 악성코드로 2016년 10월 실제 공격에서 발견된 이래 지속적으로 새로운 기능과 모듈을 업그레이드하고 있습니다. 

처음 발견된 변종은 중요 데이터를 수집해 공격자에게 보내는 뱅킹 악성코드의 기능만을 가지고 있었지만, 더욱 위험한 다른 악성코드 변종으로 시스템을 감염시키는 것이 발견되어 현재는 악명 높은 악성코드 드롭퍼의 역할도 하고 있습니다. 

OpenSSH와 OpenVPN 프로그램을 공격하도록 업데이트돼 

Trickbot은 패스워드 스틸러 모듈을 업데이트해 OpenSSH와 OpenVPN 애플리케이션을 노리기 시작했습니다. Palo Alto Networks의 Unit 42 연구원들은 지난 11월 8일 해킹된 64비트 Windows 7 기기에서 이를 발견했습니다. 

연구원들이 발견한 pwgrab64 패스워드 스틸러 모듈은 새로이 추가된 것은 아닙니다. 2018년 11월 이 변종을 분석 결과 구글 크롬, 모질라 파이어폭스, 인터넷 익스플로러, 마이크로소프트 에지, 마이크로소프트 아웃룩, 파일질라, WinSCP 등 웹 브라우저와 애플리케이션에서 패스워드를 훔치는 기능이 있었습니다. 

지난 2월, 이 패스워드 스틸러 모듈은 VNC, PuTTY, 원격 데스크톱 프로토콜(RDP)을 통해 원격 서버를 인증하는 데 사용하는 계정을 훔치도록 업그레이드되었습니다.

<Trickbot 패스워드 스틸러 HTTP POST 요청>

<출처: https://unit42.paloaltonetworks.com/trickbot-updates-password-grabber-module/>

그리고 현재, Unit 42 연구원들은 Trickbot이 OpenSSH 개인 키와 OpenVPN 패스워드, 구성 파일을 C&C 서버로 보내기 위해 HTTP POST 요청을 사용한다는 것을 발견했습니다.

하지만 감염된 Windows 7 및 10 호스트에서 이 악성코드의 C2 트래픽을 면밀히 살펴본 결과 이 악성코드는 아직까지 어떠한 데이터도 실제로 추출하지 않고 있는 것으로 밝혀져 악성코드의 개발자들이 새로운 기능을 테스트하고 있었던 것으로 추측됩니다.

하지만 이 Trickbot의 새로운 변종은 PuTTY와 같은 SSH 관련 애플리케이션에서 개인 키를 훔쳐 운영자에게 보낼 수 있어 여전히 위험합니다.

연구원들은 “업데이트된 트래픽 패턴을 통해 Trickbot이 지속적으로 진화하고 있다는 것을 알 수 있었습니다. 하지만 마이크로소프트 Windows의 최신 버전을 사용하는 등 좋은 보안 수칙을 따를 경우 Trickbot 감염을 방해하거나 막을 수 있습니다.”라 결론지었습니다.

출처:

https://www.bleepingcomputer.com/news/security/trickbot-trojan-getting-ready-to-steal-openssh-and-openvpn-keys/

https://unit42.paloaltonetworks.com/trickbot-updates-password-grabber-module/