TrickBot 갱단은 이제 북한 해커를 위한 악성코드 공급자가 되었습니다.

오늘 발표된 보고서에 따르면 북한 정부가 지원하는 해킹 부대는 TrickBot 봇넷 운영자로부터 엘리트 해킹 도구에 대한 액세스 권한과 해킹된 네트워크에 대한 액세스 권한을 임대하고 있습니다.

이번 공개는 최근 몇 년간 관찰된 추세, 즉 일반 사이버 범죄와 국가 차원의 사이버 스파이 활동 사이의 경계가 모호해지고 있음을 확인시켜 줍니다.

이러한 추세는 2017년 GameOver Zeus 악성 코드 봇넷의 배후가 어떻게 밝혀졌는지 보고서를 통해 밝혀졌습니다. 러시아 정보기관을 돕는다 그가 감염시킨 컴퓨터에서 민감한 문서를 수집하세요.

그러나 보가체프는 고립된 사례가 아니었습니다. 바로 지난주, 미국은 Dridex 악성 코드 봇넷의 관리자를 기소했습니다., 그는 민감한 데이터를 찾기 위해 러시아 국가 정보국과 협력하고 있다고 비난했습니다.

이 두 사례는 인기 있는 악성 코드 제작자와 국가 정보 기관 사이의 직접적인 접촉을 보여줍니다.

실제로 이러한 경계는 훨씬 낮은 수준에서 흐릿해졌습니다. 수년 동안 우리는 국가 해킹 그룹이 천천히 상용 악성 코드를 채택하는 것을 보아 왔습니다. 자체 도구를 개발하는 대신, 국가 후원을 받는 운영자는 이미 온라인에서 판매되고 있는 악성 코드를 구입하기로 결정했습니다.

이를 통해 재정적 동기를 지닌 해커가 저지르는 일상적인 대규모 감염 속에서 "표적" 작업을 숨기는 데 도움이 됩니다.

사이버 보안 회사인 SentinelOne이 오늘 발표한 보고서에서 우리는 국가가 후원하는 해킹 그룹(북한의 나사로그룹) 및 일상적인 악성 코드 작업(TrickBot)이 있습니다.

SentinelOne 팀에 따르면 Lazarus Group은 최근 TrickBot 갱의 고객이 되었습니다. 연구원들이 부르는 새로운 유형의 공격 프레임워크와 함께 이미 감염된 시스템에 대한 액세스 권한을 임대합니다. 닻.

TrickBot 사이버 범죄 제국

SentinelOne은 Anchor를 새로운 악성 코드 변종으로 결합된 "도구 모음"이라고 설명합니다.

Anchor 악성코드 변종은 TrickBot 모듈로 제공됩니다.

TrickBot은 Emotet, Dridex와 함께 오늘날 3대 악성 코드 봇넷 중 하나입니다. TrickBot 트로이 목마에 감염된 거대한 컴퓨터 네트워크입니다.

그러나 TrickBot은 서비스형 사이버 범죄이기도 합니다. TrickBot 갱단은 TrickBot에 감염된 컴퓨터에 대한 액세스 권한을 다른 악성 코드 갱단에게 임대합니다.

이러한 조직은 랜섬웨어 운영자부터 온라인 스패머, 사기꾼 등에 이르기까지 다양합니다. 임차인은 감염된 호스트에서 수행하려는 작업에 따라 TrickBot 트로이 목마를 사용하여 자체 악성 코드 또는 사용 가능한 TrickBot 모듈 중 하나를 설치할 수 있습니다.

TrickBot의 가장 발전된 모듈인 Anchor를 만나보세요

오늘 두 사람이 발표한 보고서에서 사이버리즌 그리고 센티넬원, 두 회사는 Anchor가 특정 시장 틈새 시장, 즉 자신이 감염시키는 시스템에서 침묵을 유지하고 탐지되지 않으려는 해커를 위해 만들어진 새로운 TrickBot 모듈이라고 말합니다.

Anchor는 먼저 스텔스 기능을 중심으로 모듈을 생성하려는 TrickBot의 시도입니다. 이는 해커가 데이터를 훔치는 동안 몇 주 또는 몇 달 동안, 심지어 침입이 끝난 후에도 오랫동안 탐지되지 않아야 하는 대기업을 대상으로 하는 공격에 사용되는 도구입니다.

SentinelOne은 Anchor를 "기업 환경을 공격하도록 설계된 올인원 공격 프레임워크"라고 설명했습니다.

이는 표적 공격에 필요한 다양한 기능을 제공하지만 TrickBot의 다른 고객에게는 유용하지 않은 다양한 하위 모듈로 구성됩니다.

여기에는 네트워크를 통해 측면으로 확산되는 앵커 하위 모듈, 향후 액세스를 위한 백도어 설치 기능, 대상 기능이 포함됩니다. POS(Point-of-Sale) 시스템 및 카드 데이터용 RAM 메모리 긁기, 감염 후 시스템을 정리하여 침입자를 숨기는 기능 트랙.

언뜻 보기에 Anchor는 TrickBot 갱단이 경제 스파이 활동에 관심이 있는 해커 그룹이나 POS 악성 코드 변종 운영자를 위해 개발한 도구처럼 보입니다.

TrickBot 갱단이 국가 해킹 그룹을 위해 은밀한 TrickBot Anchor 모듈을 개발했을 가능성은 거의 없습니다. 그러나 그것은 그들의 대열에서 클라이언트를 찾았습니다.

SentinelOne은 북한의 Lazarus Group이 수행한 공격을 TrickBot 및 새로운 Anchor 공격 프레임워크와 연결했다고 밝혔습니다.

오늘 발표된 보고서에서 SentinelOne은 Lazarus Group이 액세스 권한을 임대한 것으로 보이는 사례를 발견했다고 밝혔습니다. TrickBot 봇넷을 통해 감염된 시스템에 침입한 후 Anchor 공격 프레임워크(TrickBot 모듈)를 사용하여 설치하다 파워라탄크바, 해킹된 회사의 네트워크에 있는 PowerShell 백도어.

SentinelOne은 해킹된 회사의 네트워크에서 Lazarus Group이 무엇을 했는지 자세히 설명하지 않았지만 북한 해커들은 사이버 간첩 활동과 금전적 동기를 지닌 공격에 모두 손을 대는 것으로 알려져 있습니다.

올해 초, 미 재무부가 북한 해킹그룹 3곳과 연관된 기업에 제재를 가했다. 국가의 무기 프로그램에 자금을 조달하기 위해 은행과 암호화폐 거래소에서 돈을 훔치다 적발된 사람들입니다.

하지만 앵커의 고객은 북한 해커들만이 아니었다.

Cybereason은 Lazarus Group이 Anchor를 사용하는 것을 보지 못했지만 대신 "타겟 캠페인의 새로운 물결"을 보았습니다. 10월 초부터 시작된 금융, 제조, 소매업을 대상으로 앵커를 활용한 것이다.

"이전에 보고된 Trickbot 관련 공격과 달리 대규모 랜섬웨어 감염을 초래하는 이번 공격은 민감한 정보를 훔치는 데 중점을 두고 있습니다. 사이버리즌 팀은 POS(Point-of-Sale) 시스템과 피해자 네트워크의 기타 민감한 리소스로부터 네트워크의 중요 자산을 손상시킵니다. 말했다.

연구원들은 “이러한 공격은 공통성과 높은 규모로 인해 때때로 과소평가될 수 있는 상용 악성 코드 감염의 위험을 더욱 강조합니다.”라고 덧붙였습니다.

"엔드포인트가 특정 악성 코드에 감염되면 어떻게 계속할지 결정하는 것은 공격자의 결정에 달려 있다는 점을 기억하는 것이 중요합니다."