요약 : 여러 가지 스파이웨어를 동원한 해킹 공격이 탐지됐다. 보통 스파이웨어는 정보를 수집하기 위해 사용되고, 정보를 수집하려면 오랜 기간 피해자의 네트워크나 장비에 머물러 있어야 하기 때문에 공격 기간이 긴 것이 보통이다. 그런데 이 캠페인은 공격 시간이 짧다고 한다. 일반적인 스파이웨어 캠페인의 공격 기간은 짧아야 수개월인데, 이번 캠페인의 경우 25일 내외라고 한다. 또한 정보를 유출시킬 때 HTTPS가 아니라 SMTP 프로토콜이 사용되는 것도 기묘한 일이라고 한다.
[이미지 = utoimage]
배경 : 캠페인에 사용된 스파이웨어들은 에이전트테슬라(AgentTesla), 호크아이(HawkEye), 폼북(Formbook), 매스로거(Masslogger), 로키봇(Lokibot), 아조럴트(Azorult) 등 공격자들 사이에서 흔히 사용되어 온 것들이다. 공격자들은 크리덴셜을 훔쳐 다크웹에 판매하려는 의도를 가진 것으로 보인다.
말말말 : “공격자들이 SMTP 프로토콜을 활용해 정보를 빼돌렸다는 건, 피해자 혹은 피해 기업의 이메일 시스템을 공격자 자신의 C&C 서버로 썼다는 뜻이 됩니다. 이전 공격으로 미리 침해해 둔 이메일을 이런 식으로 활용한 것으로 보입니다.” -카스퍼스키(Kaspersky)-
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>