악명 높은 사이버 범죄단인 트릭봇이 러시아의 편을 들기 시작했다. 여태까지 한 번도 공격해 본 적 없는 우크라이나를 치기 시작한 것이다. 게다가 공격 패턴에도 약간의 변화가 있고, 새로운 멀웨어들도 동원되고 있다.

[보안뉴스 문가용 기자] 러시아에 근거지를 두고 있는 것으로 알려져 있는 해킹 그룹 트릭봇(TrickBot)이 지난 3개월 동안 우크라이나의 여러 단체들을 조직적으로 공격해 왔다는 사실이 드러났다. IBM의 엑스포스(X-Force) 팀이 발견하고 분석한 악성 캠페인은 러시아의 우크라이나 침공 이후부터 시작됐다고 하며, 표적은 정부 기관의 주요 인사들만이 아니라 일반 대중들까지도 포함된다고 한다.

​

[이미지 = utoimage]

트릭봇이 이런 캠페인을 진행했다는 건 매우 이례적인 일이다. 트릭봇은 구 소비에트 연방 소속 국가들을 공격하지 않았기 때문이다. “트릭봇은 러시아의 우크라이나 침공 이전에는 우크라이나를 공격한 적이 없습니다. 심지어 트릭봇이 그 동안 사용해 왔던 여러 가지 멀웨어들이 처음부터 우크라이나를 공격하지 않도록 설정이 되어 있었습니다. 하지만 이번에 시작된 캠페인은 오히려 우크라이나의 단체와 인물들을 공격하도록 설정이 되어 있었습니다.”

여러 가지 멀웨어들

엑스포스 팀은 현재 트릭봇 공격자들은 우크라이나를 겨냥해 여러 가지 멀웨어들을 사용하고 있다고 밝혔다. 여기에는 아이스드아이디(IcedID), 코발트스트라이크(Cobalt Strike), 앵커메일(AnchorMail), 미터프리터(Meterpreter) 등이 포함된다. 그 외에도 엑셀 다운로드라든가 자가 압축 해제 형태로 퍼지는 새로운 페이로드들도 발견되는 중이며, 멀웨어를 암호화 하거나 난독화 하는 도구들 역시 사용되고 있다고 한다.

지난 5월 엑스포스 팀이 발견한 악성 캠페인에서 트릭봇 운영자들은 악성 엑셀 파일을 피해자의 시스템에 심고, 이를 통해 앵커메일이라는 백도어를 추가로 다운로드 받아 설치했다. 앵커메일은 트릭봇이 이전에 활용하던 백도어인 앵커디엔에스(AnchorDNS)의 개량 버전으로, 콘티(Conti) 랜섬웨어도 이를 사용한 적이 있었다. 

5월 말에서 6월 초까지 트릭봇 운영자들은 또 다른 캠페인을 진행했는데, 이 때에는 ISO 이미지 파일을 공격에 활용했다고 엑스포스 팀은 설명한다. 공격자들은 악성 ISO 이미지 파일을 통해 코발트스트라이크라는 모의 해킹 도구를 피해자의 시스템에 심었고, 6월부터는 폴리나(Follina)라는 MS 윈도 제로데이 취약점까지도 익스플로잇 하기 시작했다. 

여기에 더해 우크라이나의 침해 대응 센터인 CERT-UA가 찾아내 경고한 캠페인이 하나 더 있었는데, 이 때에는 아이스드아이디라는 멀웨어 다운로더가 활용됐었다. 이 때 공격자들은 아이스드아이디를 통해 미터프리터(Meterpreter)와 코발트스트라이크를 고루 유포했다. “때론 트릭봇은 코발트스트라이크나 앵커메일 같은 멀웨어를 처음부터 직접 설치하기도 했는데, 이는 이전 트릭봇이 한 번도 사용하지 않은 전략입니다. 트릭봇은 이러한 멀웨어들을 두 번째나 세 번째 단계에서 심었습니다. 이 역시 트릭봇의 변화를 나타내는 내용입니다.”

이번에 처음 발견되고 분석된 악성 엑셀 다운로더의 경우 하드코드로 처리된 URL에서부터 멀웨어를 추가 다운로드 받는 것으로 나타났다. 다운로더는 엑셀 파일 내의 매크로 형태로 저장되어 있으며, 피해자가 엑셀 파일을 열면 자동으로 실행되도록 설계되었다. 물론 피해자가 매크로 기능을 활성해 둔 상태에서만 자동 실행되고, 그렇지 않다면 실행되지 않는다. 

트릭봇은 최근 몇 년 동안 큰 성공을 거두고 있는 해킹 범죄단이다. 이들이 활동해 온 것은 최소 2016년부터로 보인다. 트릭봇은 원래 뱅킹 크리덴셜을 훔치는 멀웨어였다. 하지만 시간이 지나면서 본연의 기능보다 추가 멀웨어를 다운로드 받는 기능이 더 각광받게 됐고, 자연히 그쪽 기능이 더 발전하기 시작해 오늘에 이르렀다. 그러더니 콘티와 류크(Ryuk)와 같은 랜섬웨어와 이모텟(Emotet)과 같은 또 다른 사이버 범죄단들과도 손을 잡았으며, 이런 멀웨어들이 더 빠르고 널리 퍼져가는 데 일조했다. 

작년 트릭봇의 주요 멤버들이 국제 공조에 참여한 경찰에 의해 체포되는 일이 발생했다. 그러면서 트릭봇 개발 및 업그레이드에 20명이 넘는 사이버 범죄자들과 멀웨어 전문가들이 관여했다는 사실이 드러났다. 2020년에도 국제 공조가 벌어졌고, 당시 트릭봇은 얼마 간 활동을 중단했었다. 하지만 되살아난 트릭봇은 현재에도 계속해서 활동을 이어가는 중이다.

3줄 요약

1. 사이버 범죄 단체 트릭봇, 갑자기 행동 패턴 변경.

2. 러시아의 우크라이나 침공 이후 우크라이나를 공격하기 시작했는데, 이는 한 번도 없었던 일.

3. 각종 기존 멀웨어들과 새 멀웨어들을 고루 사용해 피해자들을 공략 중.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=108224&page=1&mkind=1&kind=1)]​