악명 높은 트로이목마인 트릭봇(TrickBot)을 위한 새로운 모듈이 등장했습니다. 이 모듈은 백도어 기능을 강화시켜주는 것으로 바자백도어(BazarBackdoor)라는 이름이 붙여졌습니다. 이에 대해 보안 업체 판다 시큐리티(Panda Security)가 상세한 내용을 발표했습니다.

트릭봇이라는 캠페인 통해 퍼지는 새로운 모듈입니다.바자 백도어에서 발견 되었습니다. 바자백도어 심기면 공격자들이 피해 시스템에 반복해서 접속할수 있습니다. 트릭봇은 워낙 변화와 업그레이드가 잦은 멀웨어 사실상 사업상 이유로 보여지고 있습니다.

바자백도어가 처음 발견된 건 지난 3월의 일이다. 당시 공격자들은 센드그리드(Sendgrid)라는 광고 플랫폼을 악용하여 캠페인을 진행했다고 한다. 진행 방법은 다량의 피싱 메일을 보내는 것이었다. 메일 내에는 피싱 링크가 포함되어 있었고, 클릭할 경우 구글 독스(Google Docs)에 호스팅 된 문서가 열렸다.

하지만 문서가 제대로 열릴 리가 없다. 문서가 제대로 열리지 않으니 추가 조치를 취하라는 오류 메시지가 뜬다. 추가 조치란, 문서 열람에 필요한 자원을 따로 다운로드 받는 것을 말한다. 피해자들이 이를 허용할 경우, 실행파일 하나가 다운로드 된다. 파일 이름 자체에 .doc 등과 같은 문서용 확장자가 포함되어 있고(예 : PreviewReport.DOC.exe), 실행파일의 실제 확장자인 .exe 윈도우의 디폴트 설정 상 숨겨지기 때문에 얼른 보면 문서 파일처럼 보인다.

이 실행파일의 정체는 바자백도어의 로더다. 시스템에 설치된 후 배경에서 몰래 돌아간다. 처음에 하는 일은 C&C 서버와 연결하는 것이고, 연결 후 바자백도어의 진짜 페이로드를 다운로드 받는다. 이후 공격자들은 이 바자백도어를 통해 계속해서 피해자 시스템에 접근할 수 있게 된다. 공격자들의 악성 행위를 매우 편리하게 만들어주는 것이다.

바자백도어를 분석한 판다 시큐리티는 코드 일부가 트릭봇과 완벽히 겹친다는 것을 발견했다. 게다가 배포 전략과 방식도 똑 닮았다고 한다. 참고로 트릭봇은 2016년에 발견된 멀웨어로, 처음에는 뱅킹 트로이목마였지만 여러 차례 업그레이드와 변경을 거쳐 지금은 모듈형 로더가 되어 있는 상태다. 이제 공격자들은 트릭봇을 먼저 심고, 이를 통해 여러 다른 멀웨어를 배포한다. 지금 시점에서 가장 인기가 높은 ‘중간 다리’라라는 것이다.

출처 및 인용 :https://www.boannews.com/media/view.asp?idx=88720