통신, 대학, 금융 기업을 노리는 새로운 기능을 추가한 Trickbot 악성코드

Trickbot malware adds new feature to target telecoms, universities and finance companies

악명높은 Trickbot 악성코드의 새로운 버전이 전례없이 통신사, 대학, 금융 서비스를 공격하고 있는 것으로 나타났습니다.

이 캠페인을 발견한 Bitdefender의 연구원들은 지난 1월 시작된 이 캠페인이 아직까지 진행 중인 것으로 보인다고 경고했습니다.

Trickbot은 2016년 활동을 시작했으며 여러 모듈로 나뉘어진 특성으로 인해 쉽게 목적을 바꿀 수 있었습니다. 그리고 이는 오늘 날 가장 발전한 악성코드 중 하나가 되었습니다.

그리고 지금은 미국과 홍콩의 통신, 교육, 금융 부문 서비스를 노리며 타깃에 브루트포싱 공격을 사용하는 새로운 기능을 사용하는 모듈을 업데이트한 것으로 나타났습니다. 이 공격 타깃은 IP 주소를 기반으로 미리 선택되어 공격자가 이들을 특정하여 쫓고 있다는 사실을 알 수 있었습니다.

또한 공격자가 타깃 및 그들의 취약점에 대해 어느 정도 알고 있음을 나타내는 증거 또한 발견되었습니다. 이들은 계정 명 및 패스워드를 무한정 시도하는 것이 아니라 원격 데스크탑 포트에 파고들기 위해 선정의 된 계정, 패스워드 목록을 사용합니다.

Bitdefender의 시니어 전자 위협 분석가인 Liviu Arsene는 “이는 타깃 공격으로 보입니다. 사용자 계정 및 패스워드 목록을 사용하며, 전체 사전 공격을 진행하지 않는 것으로 미루어 볼 때 이들은 IT 관리자가 네트워크를 관리할 때 어떤 패스워드를 사용하는지에 대한 지식 또는 경험을 갖고 있는 것으로 보입니다.”라 밝혔습니다.

Trickbot은 일단 액세스 권한을 얻은 후에는 EternalRomance SMB 취약점을 통해 네트워크를 정찰한 다음 브라우저 정보, 계정 및 패스워드, 민감 문서, 금융 정보, 지적 재산 등을 훔치기 시작합니다.

이 악성코드는 매우 광범위하게 사용되기 때문에 공격의 배후를 밝혀내는 것은 거의 불가능한 상황입니다. 많은 C&C 인프라가 러시아에 위치하지만, 공격자들이 해당 지역의 시스템을 쉽게 해킹할 수 있었기 때문일 가능성이 높습니다.

이 캠페인은 여전히 진행 중이며, 이 공격의 배후자는 목표를 좀더 쉽게 달성하기 위해 악성코드를 계속해서 새로운 방식으로 수정할 가능성이 높습니다.

“악성코드는 더 이상 한 번 배포 후 잊어버리는 것이 아니라, 모든 목적을 달성하기 위해 백본을 구축한 후 기능을 추가하거나 제거합니다.”

조직에서는 몇 가지 간단한 단계를 통해 Trickbot 및 기타 악성코드 캠페인을 막을 수 있습니다. 먼저, 네트워크에 최신 보안 업데이트를 적용해 악성코드가 이미 알려진 취약점(예: EternalRomance)을 악용할 수 없도록 합니다.

두 번째로, 가능할 경우 원격 포트 액세스를 제한합니다. 세 번째로 사용자가 다단계 인증을 사용하도록 해야합니다. 따라서 공격자가 브루트포스 공격을 성공했을 경우에도 추가 보안 계층으로 인해 침입할 수 없게 됩니다.

Arsene는 이에 대해 “모든 조직에 적용해야할 기본 보안 단계”라 결론지었습니다.

현재 알약에서는 해당 악성코드들에 대해 Trojan.Trickster.Gen 등으로 탐지중에 있습니다. 

출처 :

https://www.zdnet.com/article/trickbot-malware-adds-new-feature-to-target-telecoms-universities-and-finance-companies/

https://labs.bitdefender.com/2020/03/new-trickbot-module-bruteforces-rdp-connections-targets-select-telecommunication-services-in-us-and-hong-kong/