2021년은 보안 전문가들에게 어려운 해가 될 것입니다.SUNBURST 공격과 Solarwinds 해킹으로 인한 피해는 아직 완전히 이해되지 않았으며 우리 모두는 여전히 높은 인식과 우려에 시달리고 있습니다.
위협 연구소 팀은 격리 기반 클라우드 보안 회사에서 매일 4천만 건 이상의 세션과 보안 이벤트를 분석하여 새롭게 등장하는 위협을 지속적으로 찾고 있으며, 최근에 Trickbot으로 알려진 이전에 알려진 위협의 재발을 관찰했습니다.
Trickbot은 오랜 세월 동안 지속되어 온 악성 코드입니다.2020년에는 이 바이러스가 랜섬웨어를 유포하는 데 큰 역할을 했으며, COVID-19 루어를 사용한 가장 인기 있는 멀웨어 작전이었습니다.그 수가 너무 많아서 2020년 10월, Microsoft는 파트너와 함께 악명 높은 Trickbot을 방해하고 제거하라는 법원 명령을 받았습니다.이를 위해 공격자가 감염된 엔드포인트에 명령을 배포하고 전송하는 데 사용했던 인프라를 무력화시켰습니다.
이 블로그에서는 Trickbot 감염이 어떻게 재발하여 활성화될 수 있는지 보여주는 캠페인 분석을 자세히 설명하겠습니다..우리가 전 세계에서 관찰한 가장 최근의 캠페인에서 멘로 시큐리티 클라우드 플랫폼, 공격자들이 흥미로운 루어를 사용하여 사용자가 엔드포인트에 Trickbot 멀웨어를 클릭하여 설치하도록 유도하는 것을 확인했습니다.
저희가 독점적으로 타겟팅한 것으로 파악한 이 진행 중인 캠페인은 북미의 법률 및 보험 업종. 초기 벡터는 URL 링크가 포함된 이메일인 것처럼 보입니다.과거에 Trickbot은 무기화된 문서를 사용했지만, 이 캠페인에서 자세히 설명하는 감염 메커니즘은 이 그룹이 사용하는 새로운 운영 방식인 것 같습니다. 사용자가 이메일의 초기 URL을 클릭하면 사용자는 손상된 서버로 리디렉션되어 사용자가 악성 페이로드를 다운로드하도록 유도합니다.아래 그림은 리디렉션 체인을 보여줍니다.
![screenshot of redirect chain](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/655bd4ea1f41d670840fbe2d_trickbot_redirection.png)
사용자가 마지막으로 방문하는 페이지는 아래 스크린샷과 같습니다.Trickbot 공격자들은 트래픽 침해라는 미끼를 이용해 사용자를 겁주어 악성 페이로드를 다운로드하도록 유도하려 합니다.
![screenshot of webpage showing notification of traffic infringement](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/655bd4ea1f41d670840fbe30_trickbot_lure.png)
“Download Photo Proof” 버튼을 클릭하면 악성 자바스크립트 파일이 포함된 zip 아카이브가 엔드포인트에 다운로드됩니다.
![screenshot of malicious file](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/655bd4ea1f41d670840fbe24_Trickbot_pic3.png)
내장된 자바스크립트는 매우 난독화되어 있으며, 이는 Trickbot 악성코드의 전형적인 TTP 방식입니다.사용자가 다운로드한 자바스크립트 파일을 열면 CnC 서버에 최종 악성 바이너리를 다운로드하라는 HTTP 요청이 이루어집니다.
![screenshot of javascript code](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/655bd4ea1f41d670840fbe36_trickbot_cnc.png)
멀웨어가 다운로드되는 초기 URL과 해당 멀웨어가 연결되는 CnC 모두 인기 위협 피드인 URLHaus에서 Trickbot으로 태그가 지정됩니다.
![screenshot of URLs](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/655bd4ea1f41d670840fbe2a_trickbot_urlhaus.png)
이 블로그를 작성할 당시에는 이 Trickbot 캠페인에서 확인된 일부 URL이 VT에서 거의 또는 전혀 탐지되지 않았습니다.
![screenshot of URLs](https://cdn.prod.website-files.com/65565a6ae1bebedfef4026ca/655bd4ea1f41d670840fbe3a_trickbot_vt.png)
Menlo Labs는 여전히 난독성이 심한 자바스크립트와 엔드포인트에 다운로드되는 바이너리 페이로드를 분석하고 있습니다.당사는 이 봇넷에 대한 사전 및 사후 삭제 작업 간의 유사점 및 차이점에 대한 추가 세부 정보를 게시할 계획입니다.
결론:
의지가 있는 곳에 방법이 있습니다.이 속담은 트릭봇 작전의 배후에 있는 악의적인 행위자들에게도 확실히 통합니다.Microsoft와 그 파트너들의 행동은 칭찬할 만했고 트릭봇 활동도 조금씩 줄어들었지만, 위협 행위자들은 운영을 복원하고 현재의 위협 환경에서 수익을 창출할 수 있을 만큼 충분히 동기를 부여받은 것 같습니다.위협 행위자를 영원히 차단하세요. 멘로 시큐리티 솔루션.