1. TrickBot Gang AnchorDNS 백도어를 AnchorMail로 변경
Reference: https://thehackernews.com/2022/03/trickbot-malware-gang-upgrades-its.html
TrickBot 인프라는 거의 2개월간 활동이 멈춘 이후, 인프라를 공식적으로 폐쇄했다. 하지만 이후에도 Conti 랜섬웨어의 배포와 관련된 공격을 수행하기 위해 지속적으로 공격툴을 업데이트 하고 있다.
AnchorDNS 백도어의 동작과 매우 유사한 AnchorMail이라고 명명된 새로운 변종이 확인되었다. TLS를 통해 SMTP 및 IMAP 프로토콜을 사용하여 통신하는 이메일 기반 C2 서버를 사용한다. AnchorDNS와 다른점은 C2 통신 매커니즘이 정비 된 것이다.
AdvIntel의 보고서에 따르면 TrickBot이 Conti에 인수되었다. 현재 TrickBot 인프라는 종료 되었고, 현재는 BazarBackdoor 과 같은 악성코드 제품군에 집중 할 가능성이 있는데 이러한 과정에서 AnchorDNS 백도어가 자체적으로 개선되어 AnchorMail이 개발 된 것으로 보인다.
AnchorDNS 의 경우 DNS 터널링을 통해 C2 서버와 통신하는데, 개선된 방식은 C++ 기반으로 특수하게 조작된 이메일 메시지를 사용한다. 이는 암호화된 SMTP 프로토콜을 이용하여 C2로 데이터를 전송하고, IMAPS를 통해 데이터를 수신한다. 이 악성코드는 10분마다 실행되도록 예약된 작업을 통해 지속성을 확보하고, C2 서버에서 명령을 가져와 실행한다. 명령은 원격 서버에서 검색한 바이너리, dll, 쉘 코드를 실행하고, 파워쉘 명령을 실행하여 감염된 시스템에서 자신을 삭제하는 기능이 포함된다.
'깔짝할짝' 카테고리의 다른 글
| 2022-03-03 Thur (0) | 2022.03.03 |
|---|---|
| 2022-03-02 Wed (0) | 2022.03.02 |
| 2022-02-28 Mon (0) | 2022.02.28 |
| 2022-02-25 Fri (0) | 2022.02.25 |
| 2022-02-24 Thur (0) | 2022.02.24 |