컴백: Kronos Banking 트로이 목마가 사이버 공간에 다시 나타납니다.

잡집Dec 20, 2021

Kronos Banking 트로이 목마의 새 버전이 발견되었습니다.

크로노스 뱅킹 트로이목마의 귀환연구원들은 3가지 별개의 캠페인을 사용하고 독일, 일본 및 폴란드의 사람들을 대상으로 하는 새로운 Kronos 2018 에디션을 발견했습니다.

연구원들은 2018년 4월에 Kronos Banking 트로이 목마의 새로운 변종을 발견했습니다. 처음에 제출된 샘플은 테스트에 불과했습니다. 그러나 실제 캠페인이 트로이 목마를 전 세계에 퍼뜨리기 시작하자 전문가들은 자세히 살펴보았습니다.

Kronos 바이러스는 2014년에 처음 발견되었으며 최근 몇 년 동안 활성화되지 않았습니다. 그러나 재탄생으로 인해 독일, 일본 및 폴란드의 컴퓨터 사용자를 대상으로 하는 세 가지 이상의 캠페인이 발생했습니다.[1]. 마찬가지로, 공격자가 감염을 전 세계적으로 퍼뜨리는 것을 목표로 하는 상당한 위험이 있습니다.

분석에 따르면 Kronos Banking 트로이 목마의 가장 눈에 띄는 새로운 기능은 Tor 브라우저와 함께 작동하도록 설계된 업데이트된 C&C(명령 및 제어) 서버입니다.[2]. 이 기능을 통해 범죄자는 공격 중에 익명으로 남을 수 있습니다.

Kronos 배포 캠페인의 특징

보안 연구원은 6월 27일 이후 4개의 다른 캠페인을 조사하여 Kronos 멀웨어를 설치했다고 밝혔습니다. 뱅킹 트로이목마의 유포는 독일, 일본, 폴란드 등 대상 국가마다 고유한 특성이 있었습니다.

독일어를 사용하는 컴퓨터 사용자를 대상으로 하는 캠페인

6월 27일부터 6월 30일까지 3일 동안 전문가들은 크로노스 바이러스를 퍼뜨리는 데 사용된 악성 스팸 캠페인을 발견했습니다. 악성 이메일에 제목이 포함됨 "이용약관 업데이트 중입니다." 또는 "알림: 9415166" 독일 금융기관 5곳 이용자 컴퓨터 감염 목표[3].

Kronos 스팸 이메일에 다음과 같은 악성 첨부 파일이 추가되었습니다.

  • abb_9415166.doc
  • 마눙_9415167.doc

사용된 공격자 hxxp://jhrppbnh4d674kzh[.]onion/kpanel/connect.php URL을 C&C 서버로 사용합니다. 스팸 이메일에는 활성화된 경우 Kronos 뱅킹 트로이 목마를 제거하도록 프로그래밍된 악성 매크로가 포함된 Word 문서가 포함되어 있습니다. 또한 초기에 추가 맬웨어로 시스템에 침투하도록 설계된 연기 로더가 감지되었습니다.

일본인을 타겟으로 하는 캠페인

7월 15-16일에 수행된 공격은 일본의 컴퓨터 사용자에게 영향을 미치는 것을 목표로 했습니다. 이번에는 범죄자들이 악성 광고 캠페인을 통해 13개 일본 금융 기관의 사용자를 표적으로 삼았습니다. 피해자는 사용자를 Rig 익스플로잇 킷으로 리디렉션하는 악성 JavaScript 코드와 함께 의심스러운 사이트로 전송되었습니다.[4].

고용된 해커 hxxp://jmjp2l7yqgaj5xvv[.]onion/kpanel/connect.php Kronos 배포를 위한 C&C로 사용됩니다. 연구원들은 공격의 특징을 다음과 같이 설명합니다.

이 JavaScript는 피해자를 SmokeLoader 다운로더 악성코드를 배포하는 RIG 익스플로잇 킷으로 리디렉션했습니다.

폴란드에 ​​거주하는 사용자를 타겟팅하는 캠페인

7월 15일 보안 전문가들은 악성 스팸 이메일도 사용한 세 번째 Kronos 캠페인을 분석했습니다. 폴란드 사람들은 다음과 같은 가짜 인보이스가 포함된 이메일을 받았습니다. “팍투라 2018.07.16.” 난독화된 문서에는 Kronos 바이러스가 있는 시스템에 침투하기 위한 CVE-2017-11882 "Equation Editor" 익스플로잇이 포함되어 있습니다.

피해자는 다음으로 리디렉션되었습니다. hxxp://mysit[.]space/123//v/0jLHzUW 맬웨어의 페이로드를 삭제하도록 설계되었습니다. 전문가의 마지막 메모는 이 캠페인이 hxxp://suzfjfguuis326qw[.]onion/kpanel/connect.php 그것의 C&C로.

Kronos는 2018년에 Osiris Trojan으로 브랜드가 변경될 수 있습니다.

전문가들은 지하 시장을 성찰하던 중 크로노스 2018 에디션 당시 익명의 해커가 해킹에 Osiris라는 새로운 뱅킹 트로이 목마를 홍보하고 있다는 사실이 발견되었습니다. 포럼[5].

이 새로운 버전의 Kronos가 "Osiris"로 이름이 바뀌었고 지하 시장에서 판매되고 있다는 추측과 정황 증거가 있습니다.

연구원들이 이 사실을 확인할 수는 없지만 바이러스 사이에는 여러 가지 유사점이 있습니다.

  • Osiris Trojan의 크기는 Kronos 악성코드(350 및 351KB)에 가깝습니다.
  • 둘 다 Tor 브라우저를 사용합니다.
  • Kronos 트로이 목마의 첫 번째 샘플은 Osiris를 참조할 수 있는 os.exe로 명명되었습니다.