마이크로소프트, Zloader 봇넷 해체를 위한 조치 취해

Microsoft has taken legal and technical action to dismantle the Zloader botnet

 

마이크로소프트가 전 세계 통신 업체와 사이버 보안 회사의 도움을 받아 ZLoader 트로이 목마가 사용하는 C2 인프라를 해체했습니다.

 

회사는 현재 등록된 추가 DGA 도메인 319개와 함께 ZLoader 운영자가 사용하는 65개 도메인을 싱크홀하도록 허용하는 법원 명령을 받았습니다.

 

마이크로소프트는 보고서를 통해 아래와 같이 밝혔습니다.

 

"Microsoft의 DCU(디지털 범죄 부서)가 봇넷인 ZLoader를 방해하기 위해 법적 및 기술적 조치를 취했습니다.”

 

"ZLoader는 전 세계 기업, 병원, 학교, 가정의 컴퓨팅 장치로 구성되어 있으며 돈을 훔치도록 설계된 서비스로 악성코드를 사용하는 인터넷 기반 글로벌 범죄 조직이 운영합니다."

 

Zloader는 적어도 2016년부터 활동한 뱅킹 악성코드로 악명 높은 Zeus 2.0.8.9 뱅킹 트로이 목마에서 일부 기능을 따왔으며 Zeus와 유사한 뱅킹 트로이 목마(Zeus OpenSSL 등)를 확산 시키는 데 사용되었습니다.

 

회사는 또한 랜섬웨어를 전달하는 데 사용되는 ZLoader 컴포넌트 개발에 관여한 Denis Malikov라는 사람을 가해자 중 한 명으로 지목했습니다.

 

전문가들은 전 세계에서 ZLoader 감염을 발견했으며 대부분은 미국, 중국, 서유럽, 일본에서 발생했습니다.

 

 

<이미지 출처: https://www.microsoft.com/security/blog/2022/04/13/dismantling-zloader-how-malicious-ads-led-to-disabled-security-tools-and-ransomware/>

 

 

전문가들은 ZLoader가 기본적인 뱅킹 트로이 목마에서 다른 계열사 그룹에 접근 권한을 판매해 해킹된 장치로 수익을 창출할 수 있는 정교한 악성코드에 이르기까지 수 년에 걸쳐 진화했다고 밝혔습니다.

 

"ZLoader는 보안 및 바이러스 백신 툴 비활성화와 같은 방어 회피 기능을 포함하고 있으며, 랜섬웨어 운영자를 포함한 다른 파트너에 접근 권한을 서비스의 형태로 판매합니다.”

 

"해당 기능에는 스크린샷 캡처, 쿠키 수집, 자격 증명 및 뱅킹 데이터 탈취, 정찰 수행, 지속성 메커니즘 시작, 합법적인 보안 툴 악용, 공격자에 대한 원격 액세스 제공 등이 있습니다."

 

Zloader 운영자는 시간이 지남에 따라 해당 악성코드를 서비스 형태로 제공하기 시작했으며, 이는 Ryuk를 비롯한 여러 랜섬웨어를 배포하는 데 사용되었습니다.

 

“우리가 취한 조치는 ZLoader의 인프라를 비활성화하고 이 조직적인 범죄 조직의 활동을 어렵도록 하기 위한 것입니다. 하지만 운영자는 계속해서 Zloader를 다시 운영하기 위해 노력할 것으로 예상됩니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/130181/malware/microsoft-disrupts-zloader-malware-infrastructure.html

https://www.microsoft.com/security/blog/2022/04/13/dismantling-zloader-how-malicious-ads-led-to-disabled-security-tools-and-ransomware/