2021년은 보안 전문가들에게 어려운 해가 될 것입니다.SUNBURST 공격과 Solarwinds 해킹으로 인한 피해는 아직 완전히 이해되지 않았으며 우리 모두는 여전히 높은 인식과 우려에 시달리고 있습니다.
위협 연구소 팀은 격리 기반 클라우드 보안 회사에서 매일 4천만 건 이상의 세션과 보안 이벤트를 분석하여 새롭게 등장하는 위협을 지속적으로 찾고 있으며, 최근에 Trickbot으로 알려진 이전에 알려진 위협의 재발을 관찰했습니다.
Trickbot은 오랜 세월 동안 지속되어 온 악성 코드입니다.2020년에는 이 바이러스가 랜섬웨어를 유포하는 데 큰 역할을 했으며, COVID-19 루어를 사용한 가장 인기 있는 멀웨어 작전이었습니다.그 수가 너무 많아서 2020년 10월, Microsoft는 파트너와 함께 악명 높은 Trickbot을 방해하고 제거하라는 법원 명령을 받았습니다.이를 위해 공격자가 감염된 엔드포인트에 명령을 배포하고 전송하는 데 사용했던 인프라를 무력화시켰습니다.
이 블로그에서는 Trickbot 감염이 어떻게 재발하여 활성화될 수 있는지 보여주는 캠페인 분석을 자세히 설명하겠습니다..우리가 전 세계에서 관찰한 가장 최근의 캠페인에서 멘로 시큐리티 클라우드 플랫폼, 공격자들이 흥미로운 루어를 사용하여 사용자가 엔드포인트에 Trickbot 멀웨어를 클릭하여 설치하도록 유도하는 것을 확인했습니다.
저희가 독점적으로 타겟팅한 것으로 파악한 이 진행 중인 캠페인은 북미의 법률 및 보험 업종. 초기 벡터는 URL 링크가 포함된 이메일인 것처럼 보입니다.과거에 Trickbot은 무기화된 문서를 사용했지만, 이 캠페인에서 자세히 설명하는 감염 메커니즘은 이 그룹이 사용하는 새로운 운영 방식인 것 같습니다. 사용자가 이메일의 초기 URL을 클릭하면 사용자는 손상된 서버로 리디렉션되어 사용자가 악성 페이로드를 다운로드하도록 유도합니다.아래 그림은 리디렉션 체인을 보여줍니다.
사용자가 마지막으로 방문하는 페이지는 아래 스크린샷과 같습니다.Trickbot 공격자들은 트래픽 침해라는 미끼를 이용해 사용자를 겁주어 악성 페이로드를 다운로드하도록 유도하려 합니다.
“Download Photo Proof” 버튼을 클릭하면 악성 자바스크립트 파일이 포함된 zip 아카이브가 엔드포인트에 다운로드됩니다.
내장된 자바스크립트는 매우 난독화되어 있으며, 이는 Trickbot 악성코드의 전형적인 TTP 방식입니다.사용자가 다운로드한 자바스크립트 파일을 열면 CnC 서버에 최종 악성 바이너리를 다운로드하라는 HTTP 요청이 이루어집니다.
멀웨어가 다운로드되는 초기 URL과 해당 멀웨어가 연결되는 CnC 모두 인기 위협 피드인 URLHaus에서 Trickbot으로 태그가 지정됩니다.
이 블로그를 작성할 당시에는 이 Trickbot 캠페인에서 확인된 일부 URL이 VT에서 거의 또는 전혀 탐지되지 않았습니다.
Menlo Labs는 여전히 난독성이 심한 자바스크립트와 엔드포인트에 다운로드되는 바이너리 페이로드를 분석하고 있습니다.당사는 이 봇넷에 대한 사전 및 사후 삭제 작업 간의 유사점 및 차이점에 대한 추가 세부 정보를 게시할 계획입니다.
결론:
의지가 있는 곳에 방법이 있습니다.이 속담은 트릭봇 작전의 배후에 있는 악의적인 행위자들에게도 확실히 통합니다.Microsoft와 그 파트너들의 행동은 칭찬할 만했고 트릭봇 활동도 조금씩 줄어들었지만, 위협 행위자들은 운영을 복원하고 현재의 위협 환경에서 수익을 창출할 수 있을 만큼 충분히 동기를 부여받은 것 같습니다.위협 행위자를 영원히 차단하세요. 멘로 시큐리티 솔루션.
