ESET, 백만 대 이상 컴퓨터 감염시킨 봇넷인 Trickbot 교란시키기 위한 글로벌 작업 참여

ESET(이셋)의 국내 법인 이셋코리아는 봇넷 Trickbot에 대한 정보를 업데이트하며 주의를 권고했다.

ESET 연구진은 2016년부터 백만 대 이상의 컴퓨팅 장치를 감염시킨 Trickbot봇넷을 교란하기 위한 글로벌 작업에 참여했다. 이 작업은 Microsoft, Lumen의 Black Lotus Labs Threat Research, NTT 등과 함께 Trickbot의 C&C 서버에 영향을 미쳤다.

ESET은 기술 분석, 통계 정보, 알려진 명령 및 제어 서버 도메인 이름과 IP를 사용하여 이러한 노력에 기여했다. Trickbot은 손상된 컴퓨터에서 자격 증명을 훔치는 것으로 알려져 있으며 최근에는 랜섬웨어와 같은 더 많은 피해를 입히는 공격에 대한 전달 메커니즘으로 주로 관찰되었다.

ESET 연구소는 2016년 말 최초 발견 이후 활동을 추적하고 있다. ESET의 봇넷추적기 플랫폼은 2020년에만 125,000개 이상의 악성 샘플을 분석하고 다양한 Trickbot 모듈에서 사용하는 40,000개 이상의 구성 파일을 다운로드 및 해독하여 이 봇넷에서 사용하는 다양한 C&C 서버를 한 눈에 파악할 수 있도록 했다.

ESET의 위협 연구 책임자인 Jean-Ian Boutin은 “우리가 추적한 수년 동안 Trickbot의 악성 행위는 꾸준히 보고되어 왔으며 이는 세계에서 가장 크고 수명이 긴 봇넷 중 하나가 되었다. Trickbot은 가장 널리 퍼진 뱅킹 맬웨어군 중 하나이며, 이러한 맬웨어는 전세계 인터넷 사용자에게 위협이 된다”라고 말했다.

이 맬웨어는 다양한 방법으로 배포되었으며, 최근에 우리가 자주 관찰한 체인은 또 다른 대형 봇넷인 Emotet에 의해 이미 손상된 시스템에 Trickbot이 드롭되는 것이다. 과거에 Trickbot맬웨어는 운영자에 의해 주로 뱅킹 트로이목마로 활용되어 온라인 은행 계좌의 자격 증명을 도용하고 부정 이체를 시도했다.

2019년 10월부터 2020년 10월까지 ESET 원격 분석을 통한 전세계 Trickbot 탐지 Trickbot은 플랫폼용으로 개발된 가장 오래된 플러그인 중 하나를 사용하여 웹 인젝션을 사용할 수 있다.

이 기술은 손상된 시스템의 사용자가 특정 웹사이트를 방문할 때 사용자의 화면을 동적으로 변경할 수 있게 한다.

Boutin은 “Trickbot 캠페인 모니터링을 통해 수만 개의 다양한 구성 파일을 수집하여 Trickbot 운영자가 어떤 웹사이트를 표적으로 삼았는지 알 수 있었다. 대상 URL은 대부분 금융 기관에 속한다”라고 덧붙여 말했다.

Boutin은 "이 포착하기 쉽지 않은 위협을 방해하려는 시도는 다양한 대응 메커니즘을 가지고 있기 때문에 매우 어려운 일이며, 그리고 지하에서 매우 활동적인 다른 사이버 범죄자들과의 상호 연결은 전반적인 운영을 매우 복잡하게 만든다"라고 결론지었다.

한편 Trickbot에 대한 자세한 기술 정보는 WeLiveSecurity의 블로그 게시물 “ESET takes part in global operation to disrupt Trickbot"를 참조하면 된다.

[하반기 최대 공공•금융•기업 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에