TrickBot, Dyre 뱅킹 트로이목마와 강한 상관관계가 있는 것으로 보여져

TrickBot, Dyre 뱅킹 트로이목마와 강한 상관관계가 있는 것으로 보여져

TrickBot Shows Strong Connection to Old Dyre Banking Trojan

Fidelis Cybersecurity는 2016년 9월 발견된 새로운 뱅킹 트로이목마가 과거 Dyre 뱅킹 트로이목마와 관련이 있을 것으로 보인다는 이론을 발표했습니다. Fidelis 보안 연구원들은 2016년 9월, 새로운 트로이목마 TrickBot을 발견했습니다. 해당 트로이목마는 Dyre와 유사한 점이 많아서 이에 대한 관심이 더욱 증폭되기도 했습니다.

Dyre 트로이목마는 지난 2015년 11월, 러시아 당국이 자국 기업의 본부를 급습한 후 모든 활동을 중단했습니다. 이 사건 이후 Dyre를 배포하는 스팸 메시지의 수가 감소하기 시작했으며, 지난 1월부터는 해당 트로이목마를 악용한 공격이 거의 사라졌습니다.

Fidelis의 전문가들에 따르면, Dyre 크루 또는 과거 Dyre 크루의 구성원이 예전 Dyre의 방식 및 코드의 많은 부분을 공유하는 것으로 예상되고 있습니다. 이러한 이론을 뒷받침하는 많은 단서들과 유사점이 발견되었기 때문입니다. BrickBot 이전에는 지난 겨울, Dridex 갱이 Dyre의 특정 기술들로 실험을 한 바 있습니다. Fidelis는 사용자를 감염시키는 TrickBot의 모듈인 TrickLoader가 Dyre의 로더와 매우 유사하다고 주장했습니다.

Fidelis의 연구원인 Jason Reaves는, 이들 사이에 차이점도 존재한다고 말합니다. 가장 두드러지는 점은 코딩 스타일입니다. 이를 통해 두 트로이목마의 개발자가 다른 코더나 개발팀일 것으로 추측되고 있습니다. TrickBot은 주로 C언어로 작성된 Dyre와 다르게 대부분 C++로 작성되어 있습니다.

두 번째 차이점으로는 TrickBot이 감염된 기기에서 살아남기 위해서 TaskScheduler와 COM을 사용하는 점입니다. 예전 Dyre는 감염된 시스템에서 명령어를 직접 실행했습니다. 마지막으로 TrickBot은 암호화를 위해 Microsoft Crypto API를 사용합니다. 이와 달리, Dyre는 SHA256 해싱 및 AES 암호화법을 사용했습니다.

Fidelis는 두 트로이목마 사이의 연관성을 보여주는 많은 증거들이 있지만, 동시에 누군가 새로운 코드를 추가하는데에 꽤 많은 시간을 투자했을 것으로 보이는 증거들도 있다고 설명했습니다. 또한 TrickBot은 현재 활동 중이며, 리디렉션 공격을 사용하는 Dyre와는 다르게 브라우저 웹 주입 기술을 사용하여 호주의 은행들을 노리고 있다고도 밝혔습니다.

한편, 알약에서는 해당 악성코드를 Backdoor.Agent.Trickbot로 탐지하고 있습니다.

출처 :

http://news.softpedia.com/news/trickbot-shows-strong-connection-to-old-dyre-banking-trojan-509344.shtml

http://www.threatgeek.com/2016/10/trickbot-the-dyre-connection.html