TrickBot Malware Gets UEFI/BIOS Bootkit Feature to Remain Undetected 전 세계에서 가장 악명 높은 악성 봇넷 중 하나인 TrickBot이 툴셋을 확장한 것으로 나타났습니다. Advanced Intelligence와 Eclypsium에서 “TrickBoot”로 명명한 이 새로운 기능은 공격자가 악성코드를 효과적으로 저장할 수 있도록 기기의 UEFI/BIOS 펌웨어에 악성코드를 주입하는데 악용할 수 있는 알려진 취약점을 기기에서 찾기 위해 쉽게 얻을 수 있는 툴을 사용합니다. UEFI는 어떤 악성코드도 부트 프로세스를 변경하지 않도록 보안을 개선하는 BIOS 대체 펌웨어 인터페이스입니다. UEFI는 OS 로딩을 가능하게 하기 때문에 이러한 감염은 OS를 ..

국내외 보안동향 2020. 12. 4. 09:36

TrickBot turns 100: Latest malware released with new features TrickBot 운영자가 탐지를 회피하는 기능을 추가한 악성코드의 100번째 변종을 공개했습니다. TrickBot은 보통 악성 피싱 이메일이나 다른 악성코드를 통해 설치됩니다. 설치되면 피해자의 컴퓨터에서 조용히 실행되며, 다른 작업을 실행할 모듈을 다운로드합니다. 이 모듈은 도메인의 활성 디렉토리 서비스 데이터베이스를 훔치고, 네트워크에서 측면 확산, 스크린 잠금, 쿠키, 브라우저 비밀번호, OpenSSH 키를 훔치는 등 다양한 악성 활동을 수행합니다. 또한 TrickBot은 Ryuk과 Conti 랜섬웨어 공격자들에게 액세스를 제공한 후 공격을 완료하는 것으로 알려져 있습니다. TrickBot..

국내외 보안동향 2020. 11. 23. 09:14

TrickBot Linux Variants Active in the Wild Despite Recent Takedown TrickBot을 무력화하기 위한 노력의 결과로 대부분의 중요 인프라가 중단되었을 수 있지만, TrickBot의 운영자가 가만히 손 놓고 있지만은 않은 것으로 보입니다. 사이버 보안 회사인 Netscout에 따르면 TrickBot 제작자는 타깃의 범위를 넓히기 위해 그들 코드의 일부를 리눅스로 이동시킨 것으로 나타났습니다. 2016년 처음으로 탐지된 금융 트로이목마인 TrickBot은 윈도우 기반 악성코드로 타깃 네트워크에서 자격 증명 탈취, 랜섬웨어 공격 등 광범위한 공격을 실행하기 위해 다양한 모듈을 사용했습니다. 지난 몇 주 동안 미국 사이버 사령부 및 마이크로소프트의 노력으로 T..

국내외 보안동향 2020. 10. 29. 14:00

TrickBot's new Linux malware covertly infects Windows devices TrickBot의 Anchor 악성코드 플랫폼이 리눅스 기기를 감염시키고 은밀한 채널을 통해 고 가치 타깃을 추가로 해킹하도록 포팅된 것으로 나타났습니다. TrickBot은 정보 탈취, 패스워드 탈취, 윈도우 도메인 침투, 악성코드 배포 등 다양한 악성 활동을 수행하기 위해 서로 다른 모듈을 사용하는 다목적 윈도우 악성코드 플랫폼입니다. 공격자는 TrickBot을 임대하여 네트워크에 침투해 가치 있는 모든 것을 수집할 수 있습니다. 이후 Ryuk이나 Conti와 같은 랜섬웨어를 배포해 네트워크의 기기를 암호화하는데 사용됩니다. 2019년 말, SentinelOne과 NTT는 C&C 서버와 통신하..

국내외 보안동향 2020. 7. 31. 09:44

Emotet botnet is now heavily spreading QakBot malware Emotet 봇넷을 추적 중인 연구원들이 오랫동안 배포되어온 TrickBot 페이로드를 제치고 매우 빠른 속도로 QakBot 뱅킹 트로이목마를 푸시하기 시작했다고 밝혔습니다. 지난주, Emotet이 5개월의 공백 끝에 다시 활동을 시작했습니다. 7월 20일부터 시작된 악성 스팸 작전은 해킹된 윈도우 시스템에 다시 TrickBot을 설치하기 시작했습니다. 하지만 금일 연구원들은 Emotet이 QakBot을 드롭하고 있다는 사실을 발견되어 상황이 달라졌습니다. 악성코드 내 문자열은 이 트로이목마가 Emotet 봇넷의 파트너임을 나타내고 있었습니다. 연구원 그룹 및 시스템 관리자들은 Emotet 작전과의 싸움을 위..

국내외 보안동향 2020. 7. 22. 10:08

Nworm: TrickBot gang’s new stealthy malware spreading module Trickbot 뱅킹 트로이목마가 한 단계 더 진화해 스텔스 모드를 사용하여 탐지되지 않은 채 조용히 윈도우 도메인 컨트롤러를 감염시키는 새로운 악성코드 확산 모듈을 추가한 것으로 나타났습니다. 뱅킹 트로이목마로 시작된 TrickBot 악성코드는 지속적으로 새로운 악성 모듈을 추가하여 진화해 왔습니다. 이 악성 모듈의 역할은 네트워크를 통한 측면 확산, 활성 디렉터리 서비스 데이터베이스 탈취, 쿠키 및 OpenSSH 키 탈취, RDP/VNC/PuTTY 크리덴셜 탈취 등이 있었습니다. 또한 TrickBot은 네트워크 침투 후 랜섬웨어를 배포하기 위해 Ryuk과 같은 랜섬웨어 운영자들과 함께 파트너를..

국내외 보안동향 2020. 6. 1. 08:40

TrickBot Bypasses Online Banking 2FA Protection via Mobile App TrickBot 그룹이 거래 인증 번호를 훔친 후 이중 인증(2FA)를 우회하기 위해 개발한 악성 안드로이드 애플리케이션을 사용하는 것으로 나타났습니다. IBM X-Force 연구원들은 이 안드로이드 앱을 TrickMo라 명명했습니다. 이 앱은 활발히 업데이트 되고 있으며, 온라인 뱅킹 세션 내 웹 인젝션을 통해 독일 피해자들의 감염된 데스크탑을 통해 푸시되고 있습니다. TrickBot 운영자들은 TrickMo가 피해자의 안드로이드 기기에 설치된 후 OTP, 모바일 TAN, pushTAN 인증 코드 등 광범위한 거래 인증 번호(TAN)에 인터셉트 하도록 설계했습니다. 2019년 9월 처음 발견..

국내외 보안동향 2020. 3. 26. 09:32

Trickbot, Emotet Malware Use Coronavirus News to Evade Detection Trickbot과 Emotet 트로이목마가 코로나 바이러스 뉴스 기사의 내용을 이용하기 시작했습니다. AI 및 머신 러닝을 사용하는 보안 소프트웨어가 악성코드를 탐지하지 못하도록 우회하는 것이 목적인 것으로 추측됩니다. 이 악성코드가 피싱 캠페인이나 기타 공격을 통해 배포되기 전, 개발자들은 악성코드를 난독화하거나 암호화하기 위하여 ‘암호화 프로그램’을 흔히 사용합니다. 이 작업은 안티 바이러스가 탐지할 수 없도록 악성코드를 무해한 프로그램으로 둔갑시키기 위한 것입니다. 이러한 방식은 악성 프로그램 탐지를 위해 머신 러닝 또는 AI를 활용하는 보안 소프트웨어에 특히 유용한 것으로 알려져 있..

국내외 보안동향 2020. 3. 20. 08:27