2022-03-01 Tue

1. TrickBot Gang AnchorDNS 백도어를 AnchorMail로 변경 Reference: https://thehackernews.com/2022/03/trickbot-malware-gang-upgrades-its.html TrickBot 인프라는 거의 2개월간 활동이 멈춘 이후, 인프라를 공식적으로 폐쇄했다. 하지만 이후에도 Conti 랜섬웨어의 배포와 관련된 공격을 수행하기 위해 지속적으로 공격툴을 업데이트 하고 있다. AnchorDNS 백도어의 동작과 매우 유사한 AnchorMail이라고 명명된 새로운 변종이 확인되었다. TLS를 통해 SMTP 및 IMAP 프로토콜을 사용하여 통신하는 이메일 기반 C2 서버를 사용한다. AnchorDNS와 다른점은 C2 통신 매커니즘이 정비 된 것이다...