상세 컨텐츠

본문 제목

Trickbot 악성코드 돌아와, 새로운 VNC 모듈로 피해자 감시해

국내외 보안동향

by 알약4 2021. 7. 14. 09:00

본문

 

 

Trickbot Malware Returns with a new VNC Module to Spy on its Victims

 

사이버보안 연구원들이 러시아에서 활동하는 다국적 사이버 범죄 그룹이 최근 진행된 법 집행 기관의 체포 작전에 대응해 공격 인프라를 개조하고 있다고 밝혔습니다.

 

Bitdefender는 지난 월요일 발행된 기술 문서에서 아래와 같이 밝혔습니다.

 

발견된 새로운 기능은 C2 서버와 피해자 간의 송/수신을 숨기기 위해 커스텀 통신 프로토콜을 사용하여 피해자를 모니터링하고 정보를 캐내는 것입니다. 이로써 그들의 행동을 탐지하기 어렵게 합니다. Trickbot은 속도를 늦출 기미를 전혀 보이지 않습니다.”

 

Trickbot을 운영하는 사이버범죄 집단인 Wizard Spider는 감염된 기기를 악용해 민감 정보를 훔치고, 네트워크 측면 이동, 랜섬웨어와 같은 다른 악성코드의 로더 역할 등을 수행합니다. 또한 이들은 효율성을 높이기 위해 지속적으로 새로운 기능을 포함한 모듈을 추가합니다.

 

 

<이미지 출처: https://thehackernews.com/2021/07/trickbot-malware-returns-with-new-vnc.html>

 

 

LumenBlack Lotus Labs는 지난해 10월 아래와 같이 밝혔습니다.

 

“TrickBot은 타사 서버를 해킹해 이를 악성코드를 호스팅하는데 사용하는 등 복잡한 인프라를 사용하도록 진화했습니다. DSL 라우터와 같은 어플라이언스를 감염시키고, 운영자는 주기적으로 IP 주소와 감염된 호스트를 로테이션 시켜 그들의 작전을 방해하기 어렵도록 했습니다.”

 

이 봇넷은 마이크로소프트와 미 사이버 사령부가 협력하여 진행한 두 번의 중단 시도에서도 살아남았습니다. 이들은 UEFI에 백도어를 설치하여 백신 소프트웨어의 탐지를 피하고, 소프트웨어를 업데이트하고, 컴퓨터의 OS를 완전히 제거 및 재설치가 가능했습니다.

 

Bitdefender에 따르면, 공격자는 모니터링 및 정보 수집을 위해 선택된 주요 타깃에 “vncDll”이라는 모듈의 업데이트된 버전을 활발히 개발하고 있는 것으로 나타났습니다. 새로운 버전의 이름은 “tvncDll”입니다.

 

이 새로운 모듈은 구성 파일에 정의된 C2 서버 9곳 중 1곳과 통신하도록 설계되었으며, 이를 통해 공격 명령 셋과 더 많은 악성코드 페이로드를 받아오고, 기기에서 수집한 정보를 서버로 다시 전송합니다.

 

또한 연구원들은 공격자가 C2 서버를 통해 피해자와 상호작용하는데 사용되는 뷰어 툴을 발견했다고 밝혔습니다.

 

이 사이버 범죄 작전을 무너트리려는 시도는 성공하지 못했지만, 마이크로소프트는 ISP와 협력해 브라질과 라틴 아메리카 지역에서 Trickbot 악성코드로 해킹된 라우터를 직접 교체하고 있다고 밝혔습니다. 이로써 아프가니스탄의 TrickBot 인프라를 효과적으로 차단할 수 있었습니다.

 

 

 

 

출처:

https://thehackernews.com/2021/07/trickbot-malware-returns-with-new-vnc.html

https://www.bitdefender.com/blog/labs/trickbot-activity-increases-new-vnc-module-on-the-radar

관련글 더보기

댓글 영역