사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 봇넷 Trickbot 에 대한 정보를 업데이트하며 주의를 권고했습니다.

ESET 연구진은 2016년부터 백만 대 이상의 컴퓨팅 장치를 감염시킨 Trickbot 봇넷을 교란하기위한 글로벌 작업에 참여했습니다. 이 작업은 Microsoft, Lumen의 Black Lotus Labs Threat Research, NTT 등과 함께 Trickbot의 C&C 서버에 영향을 미쳤습니다. ESET은 기술 분석, 통계 정보, 알려진 명령 및 제어 서버 도메인 이름과 IP를 사용하여 이러한 노력에 기여했습니다. Trickbot은 손상된 컴퓨터에서 자격 증명을 훔치는 것으로 알려져 있으며 최근에는 랜섬웨어와 같은 더 많은 피해를 입히는 공격에 대한 전달 메커니즘으로 주로 관찰되었습니다.

ESET 연구소는 2016년 말 최초 발견 이후 활동을 추적하고 있습니다. ESET의 봇넷 추적기 플랫폼은 2020년에만 125,000개 이상의 악성 샘플을 분석하고 다양한 Trickbot 모듈에서 사용하는 40,000개 이상의 구성 파일을 다운로드 및 해독하여 이 봇넷에서 사용하는 다양한 C&C 서버를 한 눈에 파악할 수 있도록 했습니다.

“우리가 추적한 수년 동안 Trickbot의 악성 행위는 꾸준히 보고되어 왔으며 이는 세계에서 가장 크고 수명이 긴 봇넷 중 하나가 되었습니다. Trickbot은 가장 널리 퍼진 뱅킹 맬웨어군 중 하나이며, 이러한 맬웨어는 전세계 인터넷 사용자에게 위협이 됩니다.”라고 ESET의 위협 연구 책임자인 Jean-Ian Boutin은 설명합니다.

이 맬웨어는 다양한 방법으로 배포되었습니다. 최근에 우리가 자주 관찰한 체인은 또다른 대형 봇넷인 Emotet에 의해 이미 손상된 시스템에 Trickbot이 드롭되는 것입니다. 과거에 Trickbot 맬웨어는 운영자에 의해 주로 뱅킹 트로이목마로 활용되어 온라인 은행 계좌의 자격 증명을 도용하고 부정 이체를 시도했습니다.

Trickbot은 플랫폼용으로 개발된 가장 오래된 플러그인 중 하나를 사용하여 웹 인젝션을 사용할 수 있습니다. 이 기술은 손상된 시스템의 사용자가 특정 웹사이트를 방문할 때 사용자의 화면을 동적으로 변경할 수 있게 합니다. “Trickbot 캠페인 모니터링을 통해 수만 개의 다양한 구성 파일을 수집하여 Trickbot 운영자가 어떤 웹사이트를 표적으로 삼았는지 알 수 있었습니다. 대상 URL은 대부분 금융 기관에 속합니다.”라고 Boutin은 덧붙입니다.

Boutin은 "이 포착하기 쉽지 않은 위협을 방해하려는 시도는 다양한 대응 메커니즘을 가지고 있기 때문에 매우 어려운 일입니다. 그리고 지하에서 매우 활동적인 다른 사이버 범죄자들과의 상호 연결은 전반적인 운영을 매우 복잡하게 만듭니다."라고 결론지었습니다.

Trickbot에 대한 자세한 기술 정보는 WeLiveSecurity 의 블로그 게시물 “ESET takes part in global operation to disrupt Trickbot"를 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우하십시오.

데이터넷 : 랜섬웨어·사이버 스파이로 진화하는 뱅킹 트로이목마

IT WORLD : 이셋코리아, 봇넷 ‘트릭봇’ 정보 업데이트

데일리시큐 : ESET, 백만 대 이상 컴퓨터 감염시킨 봇넷인 Trickbot 교란시키기 위한 글로벌 작업 참여