청호PENTEST - Professional Penetration Testing Company

Select Language
팔로알토네트웍스 유닛42 보안분석가들이 트릭봇(Trickbot) 뱅킹 악성코드가 OpenSSH 개인 키와 OpenVPN 패스워드, 구성 파일을 훔칠 수 있는 패스워드 스틸러 모듈을 업데이트하는 등 지속적으로 진화하고 있다고 밝혔다.

모듈형 악성코드인 트릭봇(Trickster, TrickLoader, TheTrick으로도 알려짐)은 지난 2016년 10월 실제 공격에서 발견된 이래 지속적으로 새로운 기능과 모듈을 업그레이드하고 있다.

처음 발견된 변종은 중요 데이터를 수집해 공격자에게 보내는 뱅킹 악성코드의 기능만을 가지고 있었지만, 더욱 위험한 다른 악성코드 변종으로 시스템을 감염시키는 것이 발견되어 현재는 악명 높은 악성코드 드롭퍼의 역할도 하고 있다.

트릭봇은 패스워드 스틸러 모듈을 업데이트해 OpenSSH와 OpenVPN 애플리케이션을 노리기 시작했다. 팔로알토네트웍스의 유닛42(Unit 42) 연구원들은 지난 11월 8일 해킹된 64비트 윈도우7 기기에서 이를 발견했다.

연 구원들이 발견한 pwgrab64 패스워드 스틸러 모듈은 새롭게 추가된 것은 아니다. 2018년 11월 이 변종을 분석 결과 구글 크롬, 모질라 파이어폭스, 인터넷 익스플로러, 마이크로소프트 에지, 마이크로소프트 아웃룩, 파일질라, WinSCP 등 웹 브라우저와 애플리케이션에서 패스워드를 훔치는 기능이 있었다.

지난 2월, 이 패스워드 스틸러 모듈은 VNC, PuTTY, 원격 데스크톱 프로토콜(RDP)을 통해 원격 서버를 인증하는 데 사용하는 계정을 훔치도록 업그레이드되었다.

그리고 현재, 유닛42 연구원들은 트릭봇이 OpenSSH 개인 키와 OpenVPN 패스워드, 구성 파일을 C2 서버로 보내기 위해 HTTP POST 요청을 사용한다는 것을 발견했다.

하 지만 감염된 윈도우7 및 10 호스트에서 이 악성코드의 C2 트래픽을 상세히 살펴본 결과 이 악성코드는 아직까지 어떠한 데이터도 실제로 추출하지 않고 있는 것으로 밝혀져 악성코드의 개발자들이 새로운 기능을 테스트하고 있었던 것으로 추측되고 있다.

하지만 이 트릭봇의 새로운 변종은 PuTTY와 같은 SSH 관련 애플리케이션에서 개인 키를 훔쳐 운영자에게 보낼 수 있어 여전히 위험한 상황이다.

유 닛42 연구원들은 “업데이트된 트래픽 패턴을 통해 트릭봇이 지속적으로 진화하고 있다는 것을 알 수 있었다. 하지만 마이크로소프트 윈도우의 최신 버전을 사용하는 등 좋은 보안 수칙을 따를 경우 트릭봇 감염을 방해하거나 막을 수 있다.”고 밝혔다.


번호 제목 닉네임 조회 등록일
8305 러시아의 유명 APT 단체 가마레돈, 우크라이나 노리며 공격 재개 새 글
[레벨:30]관리자
  2019-12-10
8304 금융정보 탈취 ‘이모텟’ 악성코드, 피싱 메일 유포 ‘급증’
[레벨:30]관리자
  2019-12-09
8303 검찰·경찰·은행 사칭 주의, 전체 보이스피싱 피해 95% 차지
[레벨:30]관리자
2 2019-12-06
8302 ‘알약M’ 스마트폰 악성코드 탐지 통계 살펴봤더니... 악성코드 탐지수 400%↑
[레벨:30]관리자
2 2019-12-06
8301 연말연시 특수 노리나? 공격자들, 환대산업에 집중
[레벨:30]관리자
  2019-12-05
8300 북한 추정 해커조직 김수키, 청와대 행사 사칭해 사이버공격 시도
[레벨:30]관리자
1 2019-12-05
8299 스탄틴코 봇넷, 암호화폐 채굴 모듈을 50만대 좀비 PC에 배포해
[레벨:30]관리자
  2019-12-04
8298 홍콩 반정부 시위자 대상으로 대규모 스피어 피싱 공격 있었다
[레벨:30]관리자
  2019-12-04
8297 악성코드 유포해 74억 건 개인정보 불법수집 후 판매한 해킹사범 3명 구속기소
[레벨:30]관리자
1 2019-12-03
8296 ‘강주경 입사지원서’ 정체? 비너스락커 조직의 랜섬웨어 최신 버전
[레벨:30]관리자
1 2019-12-03
8295 웹 애플리케이션의 SSRF 취약점, 공공 클라우드 위협
[레벨:30]관리자
4 2019-12-02
8294 업비트 580억 이더리움 탈취 미스터리, 암호화폐 거래소의 드러난 문제들
[레벨:30]관리자
1 2019-12-02
Selected 오픈SSH와 오픈VPN 키 탈취하는 신종 '트릭봇' 악성코드 발견돼
[레벨:30]관리자
2 2019-11-29
8292 구매주문, 명세서 등으로 위장. 대량 유포되고 있는 피싱 메일…주의
[레벨:30]관리자
1 2019-11-29
8291 580억 탈취 당한 암호화폐 거래소 업비트, 직원 사칭 해킹 메일이 사전작업?
[레벨:30]관리자
4 2019-11-28
8290 이전에 없던 새로운 설치 기술 사용 맬웨어 ‘DePriMon’와 ‘Mispadu’ 뱅킹트로이목마 발견
[레벨:30]관리자
4 2019-11-27
8289 해킹 그룹이 노출된 API 엔드 포인트를 이용해 도커 시스템 하이재킹
[레벨:30]관리자
  2019-11-27
8288 클롭 랜섬웨어, 암호화 위해 윈도우 디펜더 및 백신 작동 정지시켜
[레벨:30]관리자
2 2019-11-26
8287 기업 이메일 침해 공격, 낱낱이 분석했더니 주초 9시가 가장 위험
[레벨:30]관리자
4 2019-11-25
8286 국가지원 해커조직, 한글 악성파일 변종 계속 유포중
[레벨:30]관리자
2 2019-11-25
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X