상세 컨텐츠

본문 제목

TrickBot, 새로운 기능 추가한 100번째 변종 공개

국내외 보안동향

by 알약4 2020. 11. 23. 09:14

본문

TrickBot turns 100: Latest malware released with new features

 

TrickBot 운영자가 탐지를 회피하는 기능을 추가한 악성코드의 100번째 변종을 공개했습니다.

 

TrickBot은 보통 악성 피싱 이메일이나 다른 악성코드를 통해 설치됩니다. 설치되면 피해자의 컴퓨터에서 조용히 실행되며, 다른 작업을 실행할 모듈을 다운로드합니다.

 

이 모듈은 도메인의 활성 디렉토리 서비스 데이터베이스를 훔치고, 네트워크에서 측면 확산, 스크린 잠금, 쿠키, 브라우저 비밀번호, OpenSSH 키를 훔치는 등 다양한 악성 활동을 수행합니다.

 

또한 TrickBotRyukConti 랜섬웨어 공격자들에게 액세스를 제공한 후 공격을 완료하는 것으로 알려져 있습니다.

 

TrickBot 버전 100에 추가된 새로운 기능

 

지난 달 마이크로소프트와 파트너사에서 공동으로 TrickBot 인프라를 공격한 후 복구하는 데 시간이 다소 소요될 것으로 예상했습니다.

 

하지만 TrickBot은 여전히 활동을 계속하며 악성코드의 100번째 빌드를 공개했습니다.

 

Advanced IntelVitali Kremez가 발견한 이 최신 빌드는 탐지를 더욱 어렵게 만드는 새로운 기능을 추가한 것으로 나타났습니다.

 

TrickBot의 새로운 버전은 'MemoryModule' 프로젝트의 코드를 사용하여 메모리에서 정식 윈도우 wermgr.exe 실행파일에 직접 DLL을 주입합니다.

 

해당 프로젝트의 GitHub 페이지에서는 아래와 같이 소개하고 있습니다.

 

“MemoryModule은 디스크에 먼저 저장하지 않고 메모리에서 DLL을 완전히 로드하는데 사용하는 라이브러리입니다.”