아마데이(Amadey), 스틸C(StealC) 등 사이버 범죄자 위한 서비스 인프라 단속
주요 민간 보안 기업과 협업

[보안뉴스 한세희 기자] 글로벌 사이버 범죄 조직을 위한 멀웨어 서비스 인프라가 국제 공조 수사로 무너졌다.

유로폴은 여러 국가 사법 당국과 보안 기업이 참여한 ‘엔드게임 작전’(Operation Endgame)을 펼쳐 ‘서비스형 멀웨어’(MaaS) 인프라 ‘아마데이’(Amadey)와 ‘스틸C’(StealC)를 무력화했다고 24일(현지시간) 밝혔다.


[출처: 유로폴]

아마데이는 목표 시스템에 최초 진입해 추가 페이로드를 설치하는 역할을 한다. 랜섬웨어 조직이나 국가 배후 위협 집단 등 광범위한 고객층을 가졌다. 스틸C는 신원정보, 암호화폐 지갑 등 민감 정보를 탈취하는 인포스틸러다. 이 정보들은 초기 침투 브로커(IAB)에게 넘어가 다른 랜섬웨어 공격에 활용된다. 악성코드를 유포하는 가짜 틱톡 생활 팁 영상 캠페인 등에 쓰였다.

마이크로소프트 디지털범죄부문(DCU)의 텔레메트리 분석 결과, 이 두 악성코드는 5월 초 단 2주 동안 14만대가 넘는 기기를 감염시킨 것으로 드러났다.

이번 작전으로 세계 곳곳에 분산돼 있던 326개의명령 제어(C2) 서버를 무력화했고, 142개 악성 도메인을 압수했다. 또 38만5000여대의 감염된 시스템에서 유출된 약 2700만개 자격 증명 데이터를 회수했다. 범죄 활동과 연계된 4100만유로(한화 약 720억원) 상당의 암호화폐도 동결됐다.

또 감염된 웹사이트를 통해 가짜 브라우저 업데이트를 유도하는 초기 침투 로더, ‘Soc고리쉬’(SocGholish) 인프라도 함께 단속했다.

이 작전엔 미국, 영국, 네덜란드, 독일, 덴마크, 캐나다 등 6개 국가 사법기관과 마이크로소프트, 이셋, 프루프포인트, IBM 엑스포스, 비트사이트 등 글로벌 보안 기업들이 참여했다.

마이크로소프트는 미국 법원에 민사 소송을 제기해 200개가 넘는 C2 도메인과 IP를 압수 및 차단다. 이셋은 약 50개 도메인과 200여개 활성 C2 서버 인프라를 매핑해 수사 당국에 제공했다. 프루프포인트와 IBM 엑스포스, 비트사이트 역시 악성코드의 구조적 취약점과 텔레메트리를 분석해 경찰을 지원했다.

[한세희 기자(hahn@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>