2020.10.20

이셋코리아, 봇넷 ‘트릭봇’ 정보 업데이트

편집부 | CIO KR
이셋코리아가 100만 대 이상의 컴퓨팅 장치를 감염시킨 봇넷 ‘트릭봇(Trickbot)’에 대한 정보를 업데이트하며 주의를 권고했다. 

이셋 연구진은 2016년부터 트릭봇을 교란하기 위한 글로벌 작업에 참여하고 있다. 이셋은 기술 분석, 통계 정보, 알려진 명령 및 제어 서버 도메인 이름과 IP를 사용해 작업하고 있다. 

트릭봇은 손상된 컴퓨터에서 자격 증명을 훔치는 것으로 알려져 있으며, 최근에는 랜섬웨어와 같은 더 많은 피해를 입히는 공격과 같은 전달 메커니즘으로 주로 관찰됐다. 

이셋의 봇넷 추적기 플랫폼은 2020년에만 12만5,000개 이상의 악성 샘플을 분석하고 다양한 트릭봇 모듈에서 사용하는 4만 개 이상의 구성 파일을 다운로드 및 해독해, 이 봇넷에서 사용하는 다양한 C&C 서버를 한 눈에 파악할 수 있다. 

이셋의 위협 연구 책임자인 장-이안 부틴은 “우리가 추적한 수년 동안 트릭봇의 악성 행위는 꾸준히 보고돼 왔으며 이는 세계에서 가장 크고 수명이 긴 봇넷 중 하나가 되었다”며, “트릭봇은 가장 널리 퍼진 뱅킹 맬웨어군 중 하나이며, 이러한 맬웨어는 전세계 인터넷 사용자에게 위협이 된다”고 설명했다. 

이 맬웨어는 다양한 방법으로 배포됐다. 최근에 자주 관찰한 체인은 또다른 대형 봇넷인 이모텟(Emotet)에 의해 이미 손상된 시스템에 트릭봇이 드롭되는 것이다. 과거에 트릭봇 맬웨어는 운영자에 의해 주로 뱅킹 트로이목마로 활용돼 온라인 은행 계좌의 자격 증명을 도용하고 부정 이체를 시도했다.

트릭봇은 플랫폼용으로 개발된 가장 오래된 플러그인 중 하나를 사용해 웹 인젝션을 사용할 수 있다. 이 기술은 손상된 시스템의 사용자가 특정 웹사이트를 방문할 때 사용자의 화면을 동적으로 변경할 수 있게 한다. ciokr@idg.co.kr



2020.10.20

이셋코리아, 봇넷 ‘트릭봇’ 정보 업데이트

편집부 | CIO KR
이셋코리아가 100만 대 이상의 컴퓨팅 장치를 감염시킨 봇넷 ‘트릭봇(Trickbot)’에 대한 정보를 업데이트하며 주의를 권고했다. 

이셋 연구진은 2016년부터 트릭봇을 교란하기 위한 글로벌 작업에 참여하고 있다. 이셋은 기술 분석, 통계 정보, 알려진 명령 및 제어 서버 도메인 이름과 IP를 사용해 작업하고 있다. 

트릭봇은 손상된 컴퓨터에서 자격 증명을 훔치는 것으로 알려져 있으며, 최근에는 랜섬웨어와 같은 더 많은 피해를 입히는 공격과 같은 전달 메커니즘으로 주로 관찰됐다. 

이셋의 봇넷 추적기 플랫폼은 2020년에만 12만5,000개 이상의 악성 샘플을 분석하고 다양한 트릭봇 모듈에서 사용하는 4만 개 이상의 구성 파일을 다운로드 및 해독해, 이 봇넷에서 사용하는 다양한 C&C 서버를 한 눈에 파악할 수 있다. 

이셋의 위협 연구 책임자인 장-이안 부틴은 “우리가 추적한 수년 동안 트릭봇의 악성 행위는 꾸준히 보고돼 왔으며 이는 세계에서 가장 크고 수명이 긴 봇넷 중 하나가 되었다”며, “트릭봇은 가장 널리 퍼진 뱅킹 맬웨어군 중 하나이며, 이러한 맬웨어는 전세계 인터넷 사용자에게 위협이 된다”고 설명했다. 

이 맬웨어는 다양한 방법으로 배포됐다. 최근에 자주 관찰한 체인은 또다른 대형 봇넷인 이모텟(Emotet)에 의해 이미 손상된 시스템에 트릭봇이 드롭되는 것이다. 과거에 트릭봇 맬웨어는 운영자에 의해 주로 뱅킹 트로이목마로 활용돼 온라인 은행 계좌의 자격 증명을 도용하고 부정 이체를 시도했다.

트릭봇은 플랫폼용으로 개발된 가장 오래된 플러그인 중 하나를 사용해 웹 인젝션을 사용할 수 있다. 이 기술은 손상된 시스템의 사용자가 특정 웹사이트를 방문할 때 사용자의 화면을 동적으로 변경할 수 있게 한다. ciokr@idg.co.kr

X