TrickBot 트로이 목마의 운영자는 Shathak 위협 그룹과 협력하여 소프트웨어를 배포하고 있으며 궁극적으로 감염된 시스템에 Conti 랜섬웨어가 배포됩니다.
Cybereason 보안 분석가인 Aleksandar Milenkoski와 Eli Salem은 그룹의 최근 악성 코드 배포 캠페인을 분석한 보고서에서 다음과 같이 말했습니다.수년에 걸쳐지속적으로 발전하고 있으며 최신 버전의 TrickBot은 맬웨어 로딩 기능을 구현합니다. “TrickBot은 일반적인 사이버 범죄자부터 국가 행위자에 이르기까지 다양한 위협 행위자가 수행하는 많은 공격에서 중요한 역할을 했습니다. "
최신 보고서는 독점 악성 코드를 전달하기 위해 Shathak을 포함한 다른 사이버 범죄 집단과 TrickBot이 파트너십을 맺고 있음을 밝힌 지난 달 IBM X-Force 보고서를 기반으로 작성되었습니다. TA551이라는 별명으로도 추적되는 Shathak은 매크로 지원 Office 문서가 포함된 비밀번호로 보호된 ZIP 아카이브를 활용하여 맬웨어 배포자 역할을 하며 전 세계 최종 사용자를 표적으로 삼는 정교한 사이버 범죄자입니다.
ITG23 또는 Wizard Spider로 알려진 TrickBot 갱단은 Conti 랜섬웨어를 개발 및 유지 관리하는 것 외에도 서비스형 랜섬웨어(RaaS) 모델을 통해 계열사에 악성 코드에 대한 액세스 권한을 임대하는 일을 담당하고 있습니다.
Shathak과 관련된 감염 체인에는 일반적으로 맬웨어가 포함된 Word 문서가 포함된 피싱 이메일을 보내는 것이 포함되며, 이는 궁극적으로 TrickBot 또는 BazarBackdoor 맬웨어의 배포로 이어지며, 이는 Cobalt Strike 비콘 및 랜섬웨어를 배포하는 통로로 사용되지만 정찰을 수행하기 전에 측면 이동, 자격 증명 도용 및 데이터 침해 활동.
Cybereason 연구원들은 침해 발생 후 2일의 평균 몸값 지불 시간(TTR)을 관찰했다고 밝혔습니다. 이는 위협 행위자가 처음 네트워크에 액세스할 수 있는 시점부터 위협 행위자가 실제로 랜섬웨어를 배포하는 시점까지의 시간을 나타냅니다.
이번 연구결과는 미국에서 나왔다.사이버 보안인프라 보안국(CISA) 및 연방수사국(FBI)보고서보고서에 따르면 2021년 9월 현재 미국과 국제기구를 대상으로 한 콘티(Conti) 랜섬웨어 공격은 400건 이상 발생했다.
Conti 랜섬웨어로부터 시스템을 보호하기 위해 기관에서는 "다단계 인증(MFA) 요구, 네트워크 분할 구현, 운영 체제 및 소프트웨어를 최신 상태로 유지"를 포함한 다양한 완화 조치를 구현할 것을 권장합니다.
원본 기사, 저자: CNCSO, 재인쇄할 경우 출처를 밝혀주세요: https://cncso.com/kr/trickbot-operator-works-with-shathak-attacker-to-develop-conti-blackmail-software.html
