Home > 전체기사
새 모듈 달고 나타난 트릭봇, 2500만 개 이메일 주소 수집 성공
  |  입력 : 2019-07-16 17:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
대부분 미국 정부 기관 및 요원들의 이메일 주소...기존에 탈취당한 것 아냐
모듈의 스텔스 기능 대단히 뛰어나, 범죄자들 사이에서 유행할 가능성 높아


[보안뉴스 문가용 기자] 정보 탈취형 멀웨어인 트릭봇(TrickBot)의 배후에 있는 공격자들이 새로운 모듈을 추가했으며, 이를 통해 2500만 개의 정상 이메일 주소를 수집하는 데 성공했다는 소식이다. 이 주소들 대부분은 미국의 정부 기관이나 요원들의 것이라고, 보안 업체 딥 인스팅트(Deep Instinct)가 발표했다.

[이미지 = iclickart]


“이렇게 대대적으로 정보 수집 캠페인을 펼친 건 이후 벌일 표적형 정찰 공격을 위해서일 가능성이 높습니다.” 딥 인스팅트의 사이버 첩보 전문가인 숄 빌코미르프레이스만(Shaul Vilkomir-Preisman)과 그의 동료 톰 니프라브스키(Tom Nipravski)가 블로그를 통해 공개한 내용이다.

새로운 트릭봇 캠페인을 통해 이메일 수집을 ‘당한’ 정부 기관들은 다음과 같다.
1) 사법부
2) 국토안보부
3) 국방부
4) 사회보장국
5) 국세청
6) 하원
7) NASA
8) 체신국
9) 그 외 영국과 캐나다의 대학 및 정부 기관

딥 인스팅트 측은 “무작위로 수천 개 샘플을 골라 기존에 침해되고 유출된 정보들과 대조해보았다”며 “이전에 사이버 범죄 세계에서 융통되지 않은, 전혀 새로운 데이터셋일 가능성이 무척 높은 것으로 나타났다”고 한다.

새롭게 추가된 모듈은 트릭부스터(TrickBooster)라고 하는데, “이메일 기반 감염과 배포를 가능하게 해주는 모듈”이라고 딥 인스팅트는 서명한다. “이메일 앱의 연락처, 받은 편지함, 보낸 편지함의 정보를 통해 연락처와 크리덴셜을 추출하는 기능을 가지고 있습니다. 또한 침해한 계정을 통해 스팸 메일을 전송할 수도 있습니다. 스팸 메일 전송 후에는 보낸 편지함과 휴지통에서 메시지를 지우기도 합니다.”

딥 인스팅트가 분석한 트릭부스터 샘플들은 보안 인증서로 서명까지 되어 있었다. 소트 컨설팅(Thawte Consulting)과 소트의 모회사인 디지서트(DigiCert)가 발행한 것이었다. 원래는 미국의 일반 중소기업용으로 발행된 것으로 보이며, 이 사실을 딥 인스팅트가 디시서트와 소트 측에 알리고 얼마 지나지 않아 인증서는 취소됐다.

트릭부스터는 트릭봇이 다운로드 하며, 각종 정보를 수집해서 C&C 서버로 전송한다. 이러한 정보들은 다크웹에서 거래되는 것이 보통이다. 계정 탈취 공격이 최근 유행을 하고 있기 때문에 크리덴셜 정보는 꽤나 수요가 높은 것으로 알려져 있다.

그런 후 공격자들은 C&C 서버를 통해 스팸 이메일 발송과 관련된 정보를 멀웨어로 전달한다. 공격자들이 멀웨어를 사용해 최대한 많은 수익을 거두려고 하는 모습이라고 딥 인스팅트 측은 분석하고 있다.

“트릭부스터의 가장 큰 특징은 자신의 행위를 감추는 데 특화되어 있다는 겁니다. 자신이 만드는 흔적을 꼼꼼하게 삭제하죠. 그렇기 때문에 대부분의 보안 제품으로서는 탐지가 어렵습니다. 스텔스 기능으로서는 꽤나 발전된 모습이고, 앞으로 공격자들 사이에서 유행할 것 같습니다.”

3줄 요약
1. 정보 탈취형 멀웨어 트릭봇, 트릭부스터라는 새로운 모듈 탑재하고 나타남.
2. 트릭부스터는 이메일 통해 각종 정보 수집하는 기능과 뛰어난 스텔스 기능 자랑함.
3. 이 모듈 통해 공격자들은 현재까지 거래되지 않았던 새로운 개인정보 데이터베이스 확보함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)