TrickBot 악성코드, AnchorDNS 백도어를 AnchorMail로 업그레이드해

 

TrickBot Malware Gang Upgrades its AnchorDNS Backdoor to AnchorMail

 

TrickBot 인프라는 운영을 중단했지만, 해당 악성코드의 운영자는 Conti 랜섬웨어의 배포로 이어지는 공격을 수행하기 위해 그들의 무기고를 계속해서 재정비하고 있는 것으로 나타났습니다.

 

IBM Security X-Force는 해당 조직의 AnchorDNS 백도어의 개선된 버전을 발견해 AnchorMail이라 명명했습니다.

 

IBM의 악성코드 리버스 엔지니어인 Charlotte Hammond는 아래와 같이 밝혔습니다.

 

“AnchorMail은 TLS를 통해 SMTP 및 IMAP 프로토콜을 사용하여 통신하는 이메일 기반 명령 및 제어 서버를 사용합니다."

 

"변경된 C2 통신 메커니즘을 제외하고, AnchorMail의 동작은 이전 AnchorDNS의 동작과 매우 유사합니다."

 

TrickBot의 배후에 있는 공격자인 ITG23(Wizard Spider)은 Anchor 악성 코드 프레임워크를 개발한 것으로도 알려져 있습니다. Anchor 악성 코드 프레임워크는 TrickBot 및 BazarBackdoor(BazarLoader)를 통해 최소 2018년부터 특정 고가치 피해자를 노리기 위한 백도어이며, 동일한 그룹에서 엔지니어링된 추가 임플란트입니다.

 

이 그룹은 수년에 걸친 Conti 랜섬웨어 카르텔과의 공생 관계를 통해서도 이익을 얻었습니다. 후자는 파일 암호화 악성코드 배포를 위한 발판을 마련하기 위해 TrickBot 및 BazarLoader 페이로드를 활용했습니다.

 

AdvIntel의 Yelisey Boguslavskiy는 2월 중순 발표한 보고서에서 아래와 같이 밝혔습니다.

 

"2021년 말, 여러 엘리트 개발자와 관리자가 Conti 랜섬웨어 팀에 합류하면서 TrickBot을 인수한 것이 되었습니다."

 

이러한 모든 개발 과정에서 AnchorDNS 백도어가 자체적으로 개선된 것으로 보입니다. 이전 버전은 DNS 터널링을 사용하여 C2 서버와 통신하는 반면, 최신 C++ 기반 버전은 특수하게 조작된 이메일 메시지를 사용합니다.

 

"AnchorMail은 암호화된 SMTPS 프로토콜을 사용하여 데이터를 C2로 전송하고, IMAPS를 사용하여 데이터를 수신합니다."

 

이 악성코드는 10분마다 실행되도록 설정된 예약된 작업을 생성해 지속성을 얻은 다음 C2 서버에서 실행할 명령을 가져온 후 실행합니다.

 

여기에는 원격 서버에서 찾은 바이너리, DLL, 셸 코드를 실행하고 PowerShell 명령을 실행하고, 감염된 시스템에서 자기 자신을 삭제하는 기능 등이 포함됩니다.

 

Hammond는 아래와 같이 결론지었습니다.

 

"이 새로운 Anchor 변종이 발견됨으로 인해 해당 그룹이 랜섬웨어 공격에 사용할 새로운 은밀한 백도어를 추가하고 악성코드를 업그레이드 하겠다는 약속을 다시 한 번 강조하고 있다는 것을 알 수 있습니다.”

 

"AnchorMail은 지금까지 윈도우 시스템만을 노렸지만, AnchorDNS가 Linux로 확장한 이력이 있기 때문에 AnchorMail의 Linux 변종 또한 발견될 가능성이 있습니다.”

 

 

 

 

출처:

https://thehackernews.com/2022/03/trickbot-malware-gang-upgrades-its.html

https://securityintelligence.com/posts/new-malware-trickbot-anchordns-backdoor-upgrades-anchormail/