Home > 전체기사
악명 높은 트릭봇, 이번에는 바자백도어라는 새로운 모듈 추가해
  |  입력 : 2020-06-04 15:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
구글 독스와 교묘한 파일 이름 사용해 피해자들의 신뢰 얻어...사실은 멀웨어
트릭봇은 이제 다른 멀웨어들을 위한 로더...바자백도어도 추가로 심기는 모듈 중 하나


[보안뉴스 문가용 기자] 악명 높은 트로이목마인 트릭봇(TrickBot)을 위한 새로운 모듈이 등장했다. 이 모듈은 백도어 기능을 강화시켜주는 것으로 바자백도어(BazarBackdoor)라는 이름이 붙었다. 이에 대해 보안 업체 판다 시큐리티(Panda Security)가 상세한 내용을 발표했다.

[이미지 = utoimage]


바자백도어가 처음 발견된 건 지난 3월의 일이다. 당시 공격자들은 센드그리드(Sendgrid)라는 광고 플랫폼을 악용하여 캠페인을 진행했다고 한다. 진행 방법은 다량의 피싱 메일을 보내는 것이었다. 메일 내에는 피싱 링크가 포함되어 있었고, 클릭할 경우 구글 독스(Google Docs)에 호스팅 된 문서가 열렸다.

하지만 문서가 제대로 열릴 리가 없다. 문서가 제대로 열리지 않으니 추가 조치를 취하라는 오류 메시지가 뜬다. 추가 조치란, 문서 열람에 필요한 자원을 따로 다운로드 받는 것을 말한다. 피해자들이 이를 허용할 경우, 실행파일 하나가 다운로드 된다. 파일 이름 자체에 .doc 등과 같은 문서용 확장자가 포함되어 있고(예 : PreviewReport.DOC.exe), 실행파일의 실제 확장자인 .exe 윈도우의 디폴트 설정 상 숨겨지기 때문에 얼른 보면 문서 파일처럼 보인다.

이 실행파일의 정체는 바자백도어의 로더다. 시스템에 설치된 후 배경에서 몰래 돌아간다. 처음에 하는 일은 C&C 서버와 연결하는 것이고, 연결 후 바자백도어의 진짜 페이로드를 다운로드 받는다. 이후 공격자들은 이 바자백도어를 통해 계속해서 피해자 시스템에 접근할 수 있게 된다. 공격자들의 악성 행위를 매우 편리하게 만들어주는 것이다.

바자백도어를 분석한 판다 시큐리티는 코드 일부가 트릭봇과 완벽히 겹친다는 것을 발견했다. 게다가 배포 전략과 방식도 똑 닮았다고 한다. 참고로 트릭봇은 2016년에 발견된 멀웨어로, 처음에는 뱅킹 트로이목마였지만 여러 차례 업그레이드와 변경을 거쳐 지금은 모듈형 로더가 되어 있는 상태다. 이제 공격자들은 트릭봇을 먼저 심고, 이를 통해 여러 다른 멀웨어를 배포한다. 지금 시점에서 가장 인기가 높은 ‘중간 다리’라라는 것이다.

예를 들어 지난 1월 사이버 공격자들이 트릭봇을 통해 파워트릭(PowerTrick)이라는 백도어를 심는 것이 적발되기도 했다. 파워트릭은 주로 금융 기관들을 노린 정찰 도구로서, 금융과 관련된 여러 민감한 정보를 탈취하는 것으로 유명하다. 그 외에도 류크(Ryuk) 랜섬웨어가 트릭봇을 통해 배포된 사례도 있다.

최근 트릭봇은 지난 세월 동안 계속해서 변해왔듯, 공격적인 계발 과정을 지나고 있다. 바자백도어는 그 중 하나일 뿐이다. 트릭봇 운영자들은 분석 방해 기능을 지난 3월에 강화시키기도 했고, 비슷한 시기에 RDP 연결에 브루트포스 공격을 실행하는 모듈을 추가하기도 했다. 이런 잦은 업그레이드와 강화는 금전적 이득이 있을 때 이뤄지는 것이 보통으로, 트릭봇 운영자들은 더 많은 고객을 유치하기 위해 이 같은 꾸준함을 보이는 것으로 분석된다. 그만큼 다크웹 암시장이 활기를 띄고 있다는 뜻이기도 하다.

판다 시큐리티는 “트릭봇 운영자들이 최근 갑자기 늘어난 재택 근무자들을 노리기 위해 이 같은 업그레이드를 진행한 것으로 보인다”고 분석한다. 즉 코로나 사태를 악용하려는 사이버 공격자들의 노력의 또 다른 형태라는 것이다. 그 동안 해커들은 코로나라는 주제를 가지고 피싱 공격과 APT 공격을 해왔다.

3줄 요약
1. 트릭봇 캠페인 통해 퍼지는 새로운 모듈, 바자백도어 발견됨.
2. 바자백도어 심기면 공격자들이 피해 시스템에 반복해서 접근할 수 있음.
3. 트릭봇은 워낙 변화와 업그레이드가 잦은 멀웨어. 사업상 이유 때문일 듯.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)