상세 컨텐츠
본문
TrickBot gangs developed the PowerTrick backdoor for high-value targets
SentinelLabs의 전문가들이 TrickBot 운영자가 금융 기관 등 고 가치 타깃을 노린 최근 공격에 사용한 새로운 PowerShell 백도어를 발견했습니다.
TrickBot은 2017년 10월경부터 활동을 시작한 유명한 뱅킹 트로이목마로 꾸준히 새 기능이 추가되며 업그레이드 되어왔습니다. 2019년 2월에는 원격 앱 크리덴셜 탈취를 위한 새로운 모듈을 추가하는 변종이 발견되었습니다.
TrickBot은 초기에는 뱅킹 트로이목마 기능만을 포함하고 있었으나, 제작자는 몇 년에 걸쳐 데이터 탈취 기능, 다른 페이로드 드롭 기능 등과 같은 새로운 기능을 꾸준히 구현했습니다.
2019년 8월, Secureworks CTU(Counter Threat Unit)는 미국의 모바일 기기 사용자들을 노린 공격에서 동적 웹 인젝션을 포함한 새로운 TrickBot 버전을 발견했습니다.
명령을 실행하고 결과를 Base64 포맷으로 반환하도록 설계된 PowerTrick 백도어는 PowerShell 작업으로 배포되었습니다.
전문가들은 이 시스템이 컴퓨터 정보를 기반으로 생성된 UUID를 “botID”로 사용한다는 점을 발견했습니다.
“PowerTrick 백도어의 최종 목적은 새로운 보안 제어에 적응하기 위해 제한 및 보안 제어를 우회하여 가장 보안이 철저하고 안전하게 보호된 고 가치 네트워크를 해킹하는 것입니다.”
이 악성코드는 아래 기능을 포함하고 있습니다.
- 초기화
- 응답에 따라 Throttle 타임 리셋 또는 종료
- 다음으로 실행할 명령을 요청하는 루프 실행
- 받은 명령 실행
- 결과 또는 에러 메시지 전송
- Throttle 타임 동안 슬립 모드
PowerTrick은 프로파일링(profiling) 및 피버팅(pivoting) 목적으로 유료 또는 무료로 다운로드 할 수 있는 다른 프레임워크와 공격 툴과 함께 사용됩니다.
전문가들은 악성 작업을 위해 다른 PowerShell 유틸리티가 사용된 것을 발견했습니다. 가장 많이 사용된 유틸리티 중 하나는 오픈소스 악용 프레임워크 Metasploit의 Powershell Stager인 ‘letmein.ps1’이었습니다.
“이 letmein 스크립트는 다른 프레임워크로 감염을 피봇하기 위해 자주 활용됩니다. 피버팅 후 다른 시스템을 폭파 시키는데도 사용됩니다.”
공격자는 타깃 시스템과 네트워크 프로파일링을 완료한 후 모든 작업을 제거합니다. 올바르게 실행되지 않은 모든 파일을 제거한 후 동일한 네트워크의 다른 타깃으로 이동합니다.
SentinelLabs의 연구원들은 PowerTrick 백도어를 최근 발견한 TrickBot Anchor 악성코드와 연결했습니다. 이 악성코드는 “more_eggs” 백도어가 내장된 TerraLoader입니다.
또한 연구원들은 “PowerTrick” 분석에 사용할 모의 C&C 패널을 개발했습니다.
더욱 자세한 정보는 연구원들이 발행한 보고서에서 확인하실 수 있습니다.
현재 알약에서는 해당 악성코드들에 대해 Trojan.TerraLoader, Trojan.Trickster.Gen로 탐지중에 있습니다.
출처 :
'국내외 보안동향' 카테고리의 다른 글
| Nemty 랜섬웨어, 돈을 지불하지 않는 피해자 데이터 공개할 예정 (0) | 2020.01.14 |
|---|---|
| 구글 플레이 프로텍트를 비활성화 하고 가짜 앱 리뷰를 등록하는 안드로이드 트로이목마 발견 (0) | 2020.01.13 |
| 기업 네트워크를 노리는 SNAKE 랜섬웨어 발견 (0) | 2020.01.09 |
| Bronze President APT 그룹, 아시아 남부 및 중부 노려 (0) | 2020.01.08 |
| REvil(Sodinokibi) 랜섬웨어, 패치되지 않은 Pulse Secure VPN 서버 공격해 (0) | 2020.01.07 |
댓글 영역