NEWS

HOME

SECURITY NEWS

[보안뉴스] 사이버 범죄 단체 트릭봇, 새로운 무기 ‘파워트릭’ 장착해
  • 관리자
  • |
  • 2341
  • |
  • 2020-01-13 19:02:06

파워트릭, 오픈소스 침투 테스트 도구인 파워셸 엠파이어와 비슷

대여 사업 활발히 펼치는 트릭봇, 파워트릭도 여러 단체들에 대야할 듯

[보안뉴스 문가용 기자] 러시아의 악명 높은 사이버 범죄 단체인 트릭봇(Trickbot)이 새로운 무기를 장착했다. 파워셸을 기반으로 한 백도어로, 파일레스 공격이 가능하다. 따라서 스텔스 기능을 가지고 있으며, 공격 지속성도 강력하고, 이러한 특성을 바탕으로 네트워크 내에서 여러 가지 정보를 탈취해낸다.

[이미지 = iclickart]


트릭봇을 추적해온 보안 업체 센티넬원(SentinelONe)은 이 새 무기를 파워트릭(PowerTrick)이라고 부른다. “파워트릭은 오픈소스 침투 테스트 도구인 파워셸 엠파이어(PowerShell Empire)와 상당히 비슷합니다. 다만 현재로서는 범죄자들이 자체 개발한 것이기 때문에 탐지가 더 어렵죠.”

센티넬원의 수석 사이버 보안 연구원인 비탈리 크레메즈(Vitali Kremez)는 파워트릭에 대해 “파일레스, 익스플로잇 이후에 사용하는 도구(post-exploitation tool)”라고 설명한다. “공격자들은 한 번 시스템에 침투한 후 파워트릭을 사용해 멀웨어를 추가로 드롭합니다. 첫 번째 공격에서 ‘공격을 더 할 가치가 있다’고 판단된 시스템에 한해서 이런 두 번째 공격이 들어가는 것으로 보입니다.”

현재 파워트릭은 대규모 데이터 수집, 정찰, 공격 지속성 확보, 네트워크 내 횡적 움직임을 위해 사용되고 있다.

트릭봇은 러시아 지역에 근거지를 둔 사이버 범죄 단체이자, 그들이 사용하는 대표적인 멀웨어의 이름이다. 원래는 은행과 금융 단체들을 겨냥한 사기 범죄를 주로 저질렀으나, 최근 들어 일반 기업들도 노리기 시작했다. 현재까지 크리덴셜, 네트워크 정보, 도메인 제어기 데이터 등 상당한 양의 정보를 모은 것으로 추정된다.

또한 트릭봇은 최근 자신들이 여태까지 모은 정보를 금전적인 이득을 목표로 공격을 실시하는 다른 공격 단체에 돈을 주고 제공하기 시작했다. 북한의 라자루스(Lazarus)가 트릭봇과 이런 식의 관계를 맺고 있는 단체 중 하나라고 한다. “트릭봇은 피해자의 시스템에서 모은 정보를 처리하고 분류해 제3자가(즉, 잠재 고객) 보기 좋도록 정리해두기도 합니다.”

트릭봇은 자신들이 만든 멀웨어도 판매하고 있다. 이 중 하나가 앵커(Anchor)다. 익스플로잇 이후에 사용하는 도구들에서부터 흔적을 삭제해주는 도구들까지, 여러 가지 공격 도구를 세트로 모아둔 것이다. 최근 사이버 공격자들 사이에 유행하는 것처럼, 트릭봇도 공격 시 정상적인 도구와 서비스를 악용하는 경우가 많은데 가장 대표적인 것이 파워셸, 메타스플로잇, 코발트 스트라이크, 파워셸 엠파이어다.

파워트릭은 위에서 설명했듯이 추가 멀웨어를 심는 용도로 주로 활용되는데, 이 때 트릭봇 단체가 만든 앵커와 테라로드(TerraLoader)가 주로 피해자 시스템에 드롭된다. “파워트릭은 보안 제어 장치들과 시스템 내 여러 가지 제한 사항들을 우회하는 데에 궁극적인 목적을 가지고 있습니다. 특히 강력하게 보호가 되어 있는, 고가치 네트워크나 시스템을 공략하기 위해 만들어졌습니다. 트릭봇은 다른 도구들처럼 파워트릭도 다른 공격자 그룹에 판매할 것으로 보입니다.”

센티넬원은 깃허브를 통해 침해지수(IoC)를 공개하기도 했다. 정확히는 파워트릭을 통해 배포되는 앵커에 대한 침해지수(https://github.com/SentineLabs/TrickBot-Anchor)다.

 

3줄 요약

1. 러시아의 사이버 범죄 단체 트릭봇, 파워셸 기반의 도구 파워트릭 만듦.

2. 파워트릭은 고도의 스텔스 기능 가진 정보 수집 도구.

3. 전적을 보건데, 파워트릭도 다른 범죄 단체에 대여할 가능성 높음. 

 

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=85716&page=4&mkind=1&kind=1]

이전글 [보안뉴스] 소디노키비, 갠드크랩 뒤이어 2019년 최다 유포 랜섬웨어 되다
다음글 [보안뉴스] 신종 랜섬웨어 ‘락빗’ 등장...타깃형 랜섬웨어 특징 갖춰
비밀번호 입력
비밀번호
확인
비밀번호 입력
비밀번호
확인
TOP