보안

법률 및 보험업종을 표적으로 한 ‘트릭봇의 귀환‘

Lucian Constantin | CSO 2021.02.01
류크(Ryuk) 등 랜섬웨어 공격을 가능케 했던 트릭봇(TrickBot) 봇넷의 새로운 방식은 악성 이메일 첨부파일이 아닌 이메일에 악성링크를 사용한다는 게 특징이다.
 
ⓒ Getty Images Bank

트릭봇 봇넷을 파괴하려는 보안업계의 노력에도 불구하고 봇넷 운영자는 새로운 감염 캠페인을 통해 트릭봇넷을 되살리고 있다. 연구진이 관찰한 가장 최근의 캠페인은 법률 및 보험 회사를 표적으로 삼았다. 

보안업체인 멘로 시큐리티(Menlo Security)는 1월 29일 보고서에서 “전 세계 멘로 시큐리티 클라우드 플랫폼에서 관찰한 가장 최근의 캠페인에서 공격자는 사용자가 트릭봇 악성코드를 클릭해 엔드포인트에 설치하도록 유도하는 흥미로운 유인책을 사용했다. 현재도 진행중인 이 캠페인은 북미 지역의 법률 및 보험 분야를 표적으로 하고 있다”라고 밝혔다. 


뱅킹 트로이목마에서 크라임웨어 플랫폼으로 성장한 트릭봇 

트릭봇은 2016년 기업과 소비자를 대상으로 100만 대 이상의 컴퓨터를 감염시켰다. 이 봇넷은 최근 몇 년 동안 전 세계 많은 기관과 기업을 강타한 고도로 정교한 랜섬웨어 작업인 류크와의 연관성으로 인해 종종 주목을 받았다. 

트릭봇은 뱅킹 트로이목마로 시작했지만, 운영자가 감염된 컴퓨터에 대한 접근 권한을 자신의 악성코드를 배포하려는 다른 해커 그룹에 판매하는 크라임웨어 플랫폼(crimeware platform)으로 발전했다. 트릭봇의 가장 큰 고객은 바로 류크 조직으로, 류크에 감염되기 전에 종종 트릭봇 감염이 선행되는 이유가 바로 이 때문이다.
 
지난 10월 마이크로소프트는 법적 조치를 통해 트릭봇 명령 및 제어 서버를 운영하는 데 사용된 도메인을 압수한 다음, 다른 보안 공급업체 및 ISP와 협력해 서버를 장악했다. 11월 초까지 트릭봇 명령 및 제어 서버가 활성화되지 않았지만, 연구원들은 이 공격자가 수완이 좋아 봇넷을 재구축하려고 시도할 수 있다고 경고했다.


최신 트릭봇 캠페인, 악성 URL로 감염  

멘로가 탐지한 이번 캠페인은 악성 URL이 포함된 스팸 이메일이 포함되어 있는데, 사용자가 이 링크를 클릭하면 과실 운전에 대한 자동 알림으로 표시되는 페이지로 이동한다. 이 페이지에는 사진 증거로 추정되는 파일을 다운로드할 수 있는 버튼이 있는데, 이를 클릭하면 악성 자바스크립트 파일이 포함된 zip 아카이브가 다운로드된다.
  
멘로 시큐리티 연구진은 “탑재된 자바스크립트는 심하게 난독화된 트릭봇 악성코드의 전형적인 수법이었다. 사용자가 다운로드한 자바스크립트 파일을 열면, 최종 악성 바이너리를 다운로드하기 위한 HTTP 요청이 명령 및 제어 서버에 이뤄진다"라고 설명했다. 

연구진은 페이로드 자체를 분석해 트릭봇 샘플과 테이크다운 전과 차이가 있는지 확인하고 있다. 그러나 현재 이메일을 통해 확산되는 악성 URL과 페이로드가 다운로드된 URL 탐지율이 낮다는 점에 주목했다. 

트릭봇은 서로 다른 기능을 지원하는 24개 이상의 알려진 플러그인이 있는 모듈식 아키텍처를 갖고 있다. 지난해 연구진은 새로운 모듈을 통해 트릭봇이 안전하지 않은 UEFI 펌웨어와 잠재적으로 감염시킬 수 있는 기기를 탐지하거나 은밀하게 저수준 백도어를 배치할 수 있다고 경고했다.   

이메일에서 악성 URL을 사용하는 것은 트릭봇의 다소 특이한 배포 기법으로, 전통적인 악성코드는 악성 이메일 첨부파일(예, 악성 워드 및 엑셀 문서 또는 JNLP(Java Network Launch Protocol) 파일)을 통해 배포된다. 또한 이 악성코드는 또 다른 봇넷인 이모텟(Emotet)을 통해 널리 전달되기도 했는데, 이모텟은 지난 주 여러 국가의 경찰이 공동으로 중단시켰다. 

멘로 연구진은 “의지가 있는 곳에 방법이 있다”라며, “이 속담은 트릭봇의 운영 배후에 있는 악의적인 행위자에게 확실히 적용된다. 마이크로소프트와 파트너는 칭찬받을 만한 행동을 했고, 트릭봇 활동은 조금씩 줄어들었다. 하지만 위협 행위자는 다시 운영을 복원해 현재의 위협 환경을 현금화할 수 있을 만큼 충분히 동기 부여가 된 것 같다”라고 분석했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.