최근 연구에 따르면, 악명높은 TrickBot 악성코드의 배후에 있는 위협 행위자들은 "Diavol"이라는 새로운 변종 랜섬웨어와 관련있다고 한다.
"Diavol"과 "Conti" 랜섬웨어 페이로드가 이달 초 사용자들 중 한 사용자를 대상으로 한 공격이 실패한 경우 서로 다른 시스템에 배치 되었다고 Fortinet's FortiGuard 연구소의 연구자들이 지난주에 발표했다.
2016년에 최초로 탐지된 금융 Trojan TrickBot은 기존 윈도우를 기반으로한 크라임웨어 솔루션으로, 서도다른 모듈들을 사용하여 자격 증명 도용 및 랜섬웨어 공격 등 다양한 악성 활동을 대상 네트워크를 대상으로 수행하고 있다.
봇 네트워크를 무력화하기위한 법 집행의 노력에도 불구하고, 계속 진화하는 멀웨어는 탄력적인 위협으로 입증되었으며, "Wizard Spider"라고 불리는 러시아를 기반으로한 개발자들은 새로운 도구를 신속하게 적응시켜 추가 공격을 감행한다.
Diavol은 지금까지 한번의 사건으로 세상에 나왔다. 침입의 출처는 아직 알려지지 않았다. 하지만 분명한 것은 그 페이로드의 소스코드는 Egregor랜선웨어의 일부 언어가 재 사용되었음이 발견되었음에도 Conti와 유사점을 고유하고 있다.
연구자들은 "다소 독특한 암호화 절차의 일환으로, Diavol은 대칭 암호화 알고리즘이 아닌 사용자 모드 비동기식 절차 호출(APCs)을 사용하여 작동한고 말한다. "일반적으로 랜섬웨어 작성자들은 가장 짧은 시간 내에 암호화 작업을 완료하는 것을 목표로 한다. 비대칭 암호화 알고리즘은 대칭 알고리짐 보다 훨씬 느리기 때문에 명백한 선택은 아니다."
다른 눈에띄는 랜섬웨어의 양상은 실행 권한이 있는 버퍼에 루틴을 로드하는 것을 비트맵 이미지 형태로 난독화하는 분석방지 기술에 의존한다는 점이다.
파일들을 잠그고 데스크톱 배경화면을 랜섬 메세지로 변경하기 전에, Diavol이 수행하는 주요 기능으로는 원격서버에 희상자의 장치를 등록하고, 실행 프로세스를 종료하고, 시스템에서 로컬 드라이브를 찾아 암호화 하고, 섀도 복사본을 삭제하여 복구를 방지하는 기능이 있다.
Wizard Spider의 초기 랜섬웨어 노력은 Kryptos Logic Threat Intelligence team 상세히 설명한 " Trick BOT webinject 모듈의 새로운 개발" 과도 일치하며, 재정적인 동기 부여된 범죄 그룹은 악성소프트웨어를 여전히 적극적으로 재 사용화 하고 있음을 보여준다.
cybersecurity 연구원 Marcus Hutchins는 트위터에 "TrickBot은 Zeus-스타일 Webinjects 지원하기 위해 업데이트된 금융 사기 모듈을 다시 도입했다"고 트윗했다. "그들은 금융 사기 프로그램 작업을 재개하고, 내부 webinJect format을 잘 모르는 사람들에 대한 접속을 확대할 계획임을 암시한다."
출처 : https://thehackernews.com/2021/07/trickbot-botnet-found-deploying-new.html
IT를 공부하며 개인정보의 중요성을 알아가고 있지만 가장 중요한 분야는 금융분야일 것이다.
지금 이순간에도 zero-day취약점을 찾아 해커들은 공격을 준비하고 있다.
해커들은 항상 기발한 방법으로 공격을 하고, 이후 방어체계를 구축하는 경찰과 도둑 같은 행태를 깨닫는다.
물론 모의해킹으로 취약점을 해결하려 노력하지만, 여러 이유에서 현재 우리나라에서는 어려운 부분이 많다.
개인의 자유권이 중요한가, 공공의 선이 중요한가 정의를 내릴 수는 없지만 적당한 타협점을 찾아 우리나라도 더 높은 보안체계를 구축하면 좋겠다고 생각한다.
'News Clipping' 카테고리의 다른 글
| Gang behind huge cyber-attack demands $70m in Bitcoin (0) | 2021.08.26 |
|---|