악명 높은 트릭봇, 이번에는 바자백도어라는 새로운 모듈 추가해

구글 독스와 교묘한 파일 이름 사용해 피해자들의 신뢰 얻어...사실은 멀웨어
트릭봇은 이제 다른 멀웨어들을 위한 로더...바자백도어도 추가로 심기는 모듈 중 하나

[보안뉴스 문가용 기자] 악명 높은 트로이목마인 트릭봇(TrickBot)을 위한 새로운 모듈이 등장했다. 이 모듈은 백도어 기능을 강화시켜주는 것으로 바자백도어(BazarBackdoor)라는 이름이 붙었다. 이에 대해 보안 업체 판다 시큐리티(Panda Security)가 상세한 내용을 발표했다.

[이미지 = utoimage]

바자백도어가 처음 발견된 건 지난 3월의 일이다. 당시 공격자들은 센드그리드(Sendgrid)라는 광고 플랫폼을 악용하여 캠페인을 진행했다고 한다. 진행 방법은 다량의 피싱 메일을 보내는 것이었다. 메일 내에는 피싱 링크가 포함되어 있었고, 클릭할 경우 구글 독스(Google Docs)에 호스팅 된 문서가 열렸다.

하지만 문서가 제대로 열릴 리가 없다. 문서가 제대로 열리지 않으니 추가 조치를 취하라는 오류 메시지가 뜬다. 추가 조치란, 문서 열람에 필요한 자원을 따로 다운로드 받는 것을 말한다. 피해자들이 이를 허용할 경우, 실행파일 하나가 다운로드 된다. 파일 이름 자체에 .doc 등과 같은 문서용 확장자가 포함되어 있고(예 : PreviewReport.DOC.exe), 실행파일의 실제 확장자인 .exe 윈도우의 디폴트 설정 상 숨겨지기 때문에 얼른 보면 문서 파일처럼 보인다.

이 실행파일의 정체는 바자백도어의 로더다. 시스템에 설치된 후 배경에서 몰래 돌아간다. 처음에 하는 일은 C&C 서버와 연결하는 것이고, 연결 후 바자백도어의 진짜 페이로드를 다운로드 받는다. 이후 공격자들은 이 바자백도어를 통해 계속해서 피해자 시스템에 접근할 수 있게 된다. 공격자들의 악성 행위를 매우 편리하게 만들어주는 것이다.

바자백도어를 분석한 판다 시큐리티는 코드 일부가 트릭봇과 완벽히 겹친다는 것을 발견했다. 게다가 배포 전략과 방식도 똑 닮았다고 한다. 참고로 트릭봇은 2016년에 발견된 멀웨어로, 처음에는 뱅킹 트로이목마였지만 여러 차례 업그레이드와 변경을 거쳐 지금은 모듈형 로더가 되어 있는 상태다. 이제 공격자들은 트릭봇을 먼저 심고, 이를 통해 여러 다른 멀웨어를 배포한다. 지금 시점에서 가장 인기가 높은 ‘중간 다리’라라는 것이다.

예를 들어 지난 1월 사이버 공격자들이 트릭봇을 통해 파워트릭(PowerTrick)이라는 백도어를 심는 것이 적발되기도 했다. 파워트릭은 주로 금융 기관들을 노린 정찰 도구로서, 금융과 관련된 여러 민감한 정보를 탈취하는 것으로 유명하다. 그 외에도 류크(Ryuk) 랜섬웨어가 트릭봇을 통해 배포된 사례도 있다.

최근 트릭봇은 지난 세월 동안 계속해서 변해왔듯, 공격적인 계발 과정을 지나고 있다. 바자백도어는 그 중 하나일 뿐이다. 트릭봇 운영자들은 분석 방해 기능을 지난 3월에 강화시키기도 했고, 비슷한 시기에 RDP 연결에 브루트포스 공격을 실행하는 모듈을 추가하기도 했다. 이런 잦은 업그레이드와 강화는 금전적 이득이 있을 때 이뤄지는 것이 보통으로, 트릭봇 운영자들은 더 많은 고객을 유치하기 위해 이 같은 꾸준함을 보이는 것으로 분석된다. 그만큼 다크웹 암시장이 활기를 띄고 있다는 뜻이기도 하다.

판다 시큐리티는 “트릭봇 운영자들이 최근 갑자기 늘어난 재택 근무자들을 노리기 위해 이 같은 업그레이드를 진행한 것으로 보인다”고 분석한다. 즉 코로나 사태를 악용하려는 사이버 공격자들의 노력의 또 다른 형태라는 것이다. 그 동안 해커들은 코로나라는 주제를 가지고 피싱 공격과 APT 공격을 해왔다.

3줄 요약
1. 트릭봇 캠페인 통해 퍼지는 새로운 모듈, 바자백도어 발견됨.
2. 바자백도어 심기면 공격자들이 피해 시스템에 반복해서 접근할 수 있음.
3. 트릭봇은 워낙 변화와 업그레이드가 잦은 멀웨어. 사업상 이유 때문일 듯.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)