국방부 사이버 공간을 담당하는 美 사이버 사령부는 최근 가장 악명 높은 봇넷 중 하나를 파괴하기 위한 작전을 시작했다. 보고서에 따르면 지난 몇 주 간 사이버 사령부는 Trickbot 운영을 성공적으로 두 번 중단했다.

지난 9월 22일, 일부 분석가는 누군가가 Trickbot 봇넷에 감염된 Windows 컴퓨터에 새 구성 파일을 보냈다는 사실을 발견했다. 일반적으로 이러한 구성 파일은 실행중인 Trickbot 봇넷이 다른 사람에게 새 정보를 전송할 수 있도록 하는 데 사용된다. 이 정보에는 최신 Trickbot 악성코드 업데이트 주소가 포함될 수 있다.

그러나 당시 공개된 새로운 구성파일에 따르면 이 파일은 Trickbot에 감염된 모든 시스템에 새로운 악성코드 제어서버 주소가 127.0.0.1.임을 알려주며 이는 악성코드가 향후 로컬 주소에만 액세스하고 다시 연결되지 않음을 의미한다.

TrickBot 봇넷은 러시아 해커가 배후로 알려진 오늘날 가장 큰 봇넷 중 하나다. 이것은 2016년 뱅킹 트로이 목마로 처음 등장한 후 시스템을 감염시키고 MaaS(Malware as a Service)를 사용하는 다기능 악성코드 다운로더로 변환되었다.

TrickBot 봇넷은 랜섬웨어의 배급자로 볼 수 있다. 현재는 주로 Ryuk 암호화 랜섬웨어를 배포하고 있으며 이 소프트웨어는 다양한 공공기관 및 민간기관을 공격하는 데 사용되고 있다.

한 편, 이 봇넷 감염을 막기 위해 미국 사이버 사령부는 2020년 대선을 외국의 간섭으로부터 보호하기 위한 노력을 취할 것이라고 밝혔다.

[출처: 黑鸟 / 10.14.]