Home > 전체기사
사이버 범죄 단체 트릭봇, 새로운 무기 ‘파워트릭’ 장착해
  |  입력 : 2020-01-13 11:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
파워트릭, 오픈소스 침투 테스트 도구인 파워셸 엠파이어와 비슷
대여 사업 활발히 펼치는 트릭봇, 파워트릭도 여러 단체들에 대야할 듯


[보안뉴스 문가용 기자] 러시아의 악명 높은 사이버 범죄 단체인 트릭봇(Trickbot)이 새로운 무기를 장착했다. 파워셸을 기반으로 한 백도어로, 파일레스 공격이 가능하다. 따라서 스텔스 기능을 가지고 있으며, 공격 지속성도 강력하고, 이러한 특성을 바탕으로 네트워크 내에서 여러 가지 정보를 탈취해낸다.

[이미지 = iclickart]


트릭봇을 추적해온 보안 업체 센티넬원(SentinelONe)은 이 새 무기를 파워트릭(PowerTrick)이라고 부른다. “파워트릭은 오픈소스 침투 테스트 도구인 파워셸 엠파이어(PowerShell Empire)와 상당히 비슷합니다. 다만 현재로서는 범죄자들이 자체 개발한 것이기 때문에 탐지가 더 어렵죠.”

센티넬원의 수석 사이버 보안 연구원인 비탈리 크레메즈(Vitali Kremez)는 파워트릭에 대해 “파일레스, 익스플로잇 이후에 사용하는 도구(post-exploitation tool)”라고 설명한다. “공격자들은 한 번 시스템에 침투한 후 파워트릭을 사용해 멀웨어를 추가로 드롭합니다. 첫 번째 공격에서 ‘공격을 더 할 가치가 있다’고 판단된 시스템에 한해서 이런 두 번째 공격이 들어가는 것으로 보입니다.”

현재 파워트릭은 대규모 데이터 수집, 정찰, 공격 지속성 확보, 네트워크 내 횡적 움직임을 위해 사용되고 있다.

트릭봇은 러시아 지역에 근거지를 둔 사이버 범죄 단체이자, 그들이 사용하는 대표적인 멀웨어의 이름이다. 원래는 은행과 금융 단체들을 겨냥한 사기 범죄를 주로 저질렀으나, 최근 들어 일반 기업들도 노리기 시작했다. 현재까지 크리덴셜, 네트워크 정보, 도메인 제어기 데이터 등 상당한 양의 정보를 모은 것으로 추정된다.

또한 트릭봇은 최근 자신들이 여태까지 모은 정보를 금전적인 이득을 목표로 공격을 실시하는 다른 공격 단체에 돈을 주고 제공하기 시작했다. 북한의 라자루스(Lazarus)가 트릭봇과 이런 식의 관계를 맺고 있는 단체 중 하나라고 한다. “트릭봇은 피해자의 시스템에서 모은 정보를 처리하고 분류해 제3자가(즉, 잠재 고객) 보기 좋도록 정리해두기도 합니다.”

트릭봇은 자신들이 만든 멀웨어도 판매하고 있다. 이 중 하나가 앵커(Anchor)다. 익스플로잇 이후에 사용하는 도구들에서부터 흔적을 삭제해주는 도구들까지, 여러 가지 공격 도구를 세트로 모아둔 것이다. 최근 사이버 공격자들 사이에 유행하는 것처럼, 트릭봇도 공격 시 정상적인 도구와 서비스를 악용하는 경우가 많은데 가장 대표적인 것이 파워셸, 메타스플로잇, 코발트 스트라이크, 파워셸 엠파이어다.

파워트릭은 위에서 설명했듯이 추가 멀웨어를 심는 용도로 주로 활용되는데, 이 때 트릭봇 단체가 만든 앵커와 테라로드(TerraLoader)가 주로 피해자 시스템에 드롭된다. “파워트릭은 보안 제어 장치들과 시스템 내 여러 가지 제한 사항들을 우회하는 데에 궁극적인 목적을 가지고 있습니다. 특히 강력하게 보호가 되어 있는, 고가치 네트워크나 시스템을 공략하기 위해 만들어졌습니다. 트릭봇은 다른 도구들처럼 파워트릭도 다른 공격자 그룹에 판매할 것으로 보입니다.”

센티넬원은 깃허브를 통해 침해지수(IoC)를 공개하기도 했다. 정확히는 파워트릭을 통해 배포되는 앵커에 대한 침해지수(https://github.com/SentineLabs/TrickBot-Anchor)다.

3줄 요약
1. 러시아의 사이버 범죄 단체 트릭봇, 파워셸 기반의 도구 파워트릭 만듦.
2. 파워트릭은 고도의 스텔스 기능 가진 정보 수집 도구.
3. 전적을 보건데, 파워트릭도 다른 범죄 단체에 대여할 가능성 높음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)