상세 컨텐츠

본문 제목

통신, 대학, 금융 기업을 노리는 새로운 기능을 추가한 Trickbot 악성코드

국내외 보안동향

by 알약(Alyac) 2020. 3. 19. 14:37

본문

Trickbot malware adds new feature to target telecoms, universities and finance companies


악명높은 Trickbot 악성코드의 새로운 버전이 전례없이 통신사, 대학, 금융 서비스를 공격하고 있는 것으로 나타났습니다.


이 캠페인을 발견한 Bitdefender의 연구원들은 지난 1월 시작된 이 캠페인이 아직까지 진행 중인 것으로 보인다고 경고했습니다.


Trickbot은 2016년 활동을 시작했으며 여러 모듈로 나뉘어진 특성으로 인해 쉽게 목적을 바꿀 수 있었습니다. 그리고 이는 오늘 날 가장 발전한 악성코드 중 하나가 되었습니다.


그리고 지금은 미국과 홍콩의 통신, 교육, 금융 부문 서비스를 노리며 타깃에 브루트포싱 공격을 사용하는 새로운 기능을 사용하는 모듈을 업데이트한 것으로 나타났습니다. 이 공격 타깃은 IP 주소를 기반으로 미리 선택되어 공격자가 이들을 특정하여 쫓고 있다는 사실을 알 수 있었습니다.


또한 공격자가 타깃 및 그들의 취약점에 대해 어느 정도 알고 있음을 나타내는 증거 또한 발견되었습니다. 이들은 계정 명 및 패스워드를 무한정 시도하는 것이 아니라 원격 데스크탑 포트에 파고들기 위해 선정의 된 계정, 패스워드 목록을 사용합니다.


Bitdefender의 시니어 전자 위협 분석가인 Liviu Arsene는 “이는 타깃 공격으로 보입니다. 사용자 계정 및 패스워드 목록을 사용하며, 전체 사전 공격을 진행하지 않는 것으로 미루어 볼 때 이들은 IT 관리자가 네트워크를 관리할 때 어떤 패스워드를 사용하는지에 대한 지식 또는 경험을 갖고 있는 것으로 보입니다.”라 밝혔습니다.


Trickbot은 일단 액세스 권한을 얻은 후에는 EternalRomance SMB 취약점을 통해 네트워크를 정찰한 다음 브라우저 정보, 계정 및 패스워드, 민감 문서, 금융 정보, 지적 재산 등을 훔치기 시작합니다.


이 악성코드는 매우 광범위하게 사용되기 때문에 공격의 배후를 밝혀내는 것은 거의 불가능한 상황입니다. 많은 C&C 인프라가 러시아에 위치하지만, 공격자들이 해당 지역의 시스템을 쉽게 해킹할 수 있었기 때문일 가능성이 높습니다.


이 캠페인은 여전히 진행 중이며, 이 공격의 배후자는 목표를 좀더 쉽게 달성하기 위해 악성코드를 계속해서 새로운 방식으로 수정할 가능성이 높습니다.


“악성코드는 더 이상 한 번 배포 후 잊어버리는 것이 아니라, 모든 목적을 달성하기 위해 백본을 구축한 후 기능을 추가하거나 제거합니다.”


조직에서는 몇 가지 간단한 단계를 통해 Trickbot 및 기타 악성코드 캠페인을 막을 수 있습니다. 먼저, 네트워크에 최신 보안 업데이트를 적용해 악성코드가 이미 알려진 취약점(예: EternalRomance)을 악용할 수 없도록 합니다.


두 번째로, 가능할 경우 원격 포트 액세스를 제한합니다. 세 번째로 사용자가 다단계 인증을 사용하도록 해야합니다. 따라서 공격자가 브루트포스 공격을 성공했을 경우에도 추가 보안 계층으로 인해 침입할 수 없게 됩니다.

Arsene는 이에 대해 “모든 조직에 적용해야할 기본 보안 단계”라 결론지었습니다.


현재 알약에서는 해당 악성코드들에 대해 Trojan.Trickster.Gen 등으로 탐지중에 있습니다. 





출처 :

https://www.zdnet.com/article/trickbot-malware-adds-new-feature-to-target-telecoms-universities-and-finance-companies/

https://labs.bitdefender.com/2020/03/new-trickbot-module-bruteforces-rdp-connections-targets-select-telecommunication-services-in-us-and-hong-kong/



관련글 더보기

댓글 영역