러시아 해커들이 주로 사용하는 트루봇...클롭 랜섬웨어와 이어져 있기도

요약 : 보안 외신 블리핑컴퓨터에 의하면 CISA와 FBI가 트루봇(Truebot)이라는 봇넷 멀웨어의 새로운 변종이 활동하고 있다는 경고를 발표했다고 한다. 이번 캠페인에서 트루봇의 배후에 있는 공격자들은 네트릭스 오디터(Netwrix Auditor)라는 소프트웨어에서 발견된 원격 코드 실행 취약점을 집중적으로 익스플로잇 한다고 한다. 이 취약점은 CVE-2022-31199이다. 패치가 존재하나 사용자들의 적용이 느리게 진행되고 있다. 즉 이번 경고는 이미 나온 패치니까 적용을 서두르라는 것이라고 할 수 있다.


배경 : 트루봇은 러시아 해킹 조직인 사일런스(Silence)와 관련이 깊은 멀웨어다. 또한 핀11(FIN11) / TA505라는 해킹 조직이 즐겨 사용하기도 한다. 트루봇을 통해 여러 가지 추가 멀웨어가 피해자의 시스템에 설치되는데 그 중에 클롭 랜섬웨어도 포함되어 있다.

말말말 : “이전 트루봇은 악성 이메일을 통해 유포됐습니다. 하지만 이번 버전은 소프트웨어 취약점을 통해 유포되고 있습니다. 속지 않는 것이 중요했다면, 이제 능동적으로 취약점을 관리하는 게 중요합니다.” -CISA-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>