인도의 은행에서 온 것 같은 피싱 이메일 배포...첨부파일은 .pub나 PDF
마지막에 RAT 설치되긴 하지만 공격자의 진짜 의도 파악은 아직 되지 않아
[보안뉴스 문가용 기자] 네커스(Necurs) 봇넷이 새로운 피싱 캠페인에 연루됐다. 이 피싱 캠페인은 은행권을 노린 것으로, 악성 MS 퍼블리셔 및 PDF 파일을 퍼트리고 있다. 확산되고 있는 이 파일들은 플로드애미(FlawedAmmyy)라는 원격 접근 트로이목마(RAT)에 감염되어 있다.
[이미지 = iclickart]
이 캠페인을 처음 발견한 건 보안 업체 코펜스(Cofense)의 전문가들이다. 8월 15일까지 3071개의 은행 도메인들이 이 공격에 당했다는 것을 확인했다. 지역 내 작은 은행들부터 국제적인 명성을 떨치고 있는 금융 기관까지, 다양한 조직들에 이 공격이 미쳤다.
네커스는 2012년에 처음 발견된 루트킷으로 2016년 드리덱스(Dridex)라는 뱅킹 멀웨어와 록키(Locky)라는 랜섬웨어를 대량으로 퍼트리면서 유명해졌다. 그리고 이번에 다시 나타난 건데, 네커스를 이용한 공격자들이 다양한 전략들을 시험 적용해보고 있는 것으로 분석된다.
코펜스의 수석 연구 엔지니어인 제이슨 뮤어러(Jason Meurer)는 “이번 공격만 보자면, 기존 네커스 기반 공격과 확실한 차이가 있다”고 말한다. “마치 마케팅과 관련된 리서치 행위가 이어지는 것 같은 느낌입니다. 이른바 에이비 테스팅(A/B Testing)이 이뤄지고 있는 것 같은 모습이기도 합니다.”
기존 네커스와 이번 네커스 캠페인의 차이점은 다음과 같다.
1) 기존의 무차별적인 스팸과 다르다. 이번 공격은 오로지 은행 등의 금융 기관만을 노린 피싱 공격이다. 악성 첨부파일을 통해 RAT을 심는 것이 최종 목표다.
2) MS 퍼블리셔 파일을 이용한다. 이전에는 MS 워드와 MS 엑셀 파일이 활용됐다.
3) PDF 파일도 일부 발견됐다. 퍼블리셔 파일과 동일한 기능을 하는 것으로 보아 공격자들이 파일 포맷에 따른 결과의 차이를 실험해보는 것으로 분석된다.
코펜스의 CTO인 아론 힉비(Aaron Higbee)는 “피싱 공격에서 퍼블리셔 파일이 사용되는 건 매우 드문 일”이라고 설명한다. “과거에 잠깐 퍼블리셔 파일이 악성 공격에 활용된 적이 있긴 하지만, 이 공격이 성공하려면 사용자들이 퍼블리셔라는 프로그램을 반드시 가지고 있어야만 하기 때문에 사이버 범죄자들 사이에서 그리 인기가 높지는 않습니다.”
또한 이번 캠페인에서 사용된 이메일은 상당히 ‘기초적’이라고 한다. 제목은 “BOI 요청”이나 “지불 관련 안내”라는 문구에, 숫자와 알파벳으로 구성된 암호 코드가 붙어있는 형식이다. 주소는 인도의 어떤 은행에서 온 것과 같이 꾸며져 있다. 별개의 사건이긴 하지만 최근 인도 은행인 코스모스(Cosmos)는 1350만 달러를 ATM을 겨냥한 사이버 공격으로 잃기도 했다.
힉비는 “인도 은행에서 온 것과 같은 가짜 메일과, 최근 코스모스에서 일어난 사건 사이에 직접적인 연관성은 없더라도, 아예 상관이 없다고 보기 힘들다”고 말한다. “어쩌면 지금 네커스 공격자들이 ATM 공격을 염두에 두고 네트워크에 대한 접근을 연구하고 있는 것일 수도 있습니다.”
악성 .pub 문건들에는 원격 호스트로부터 파일을 다운로드 받고 실행시키는 매크로가 담겨져 있다고 코펜스는 블로그를 통해 설명했다. “최종 페이로드는 플로드애미라는 유명한 멀웨어입니다. 애미 어드민(Ammyy Admin)의 소스코드가 유출되면서 만들어진 멀웨어죠. 한 번 설치되면 공격자가 시스템에 대한 원격 통제권을 얻어가게 됩니다. 여기서부터 파일이나 크리덴셜 정보가 도난당하죠. 네트워크 내에서 횡적으로 움직일 수도 있고요.”
2016년부터 사용되어 온 플로드애미의 정체가 제대로 분석된 건 2018년 초의 일이다. 그리고 가장 최근에 실제 공격에 사용된 건 2018년 3월이다. 당시 공격자들은 SMB 프로토콜을 이용해 악성 ZIP 파일을 퍼트리고 있었고, ZIP 파일을 풀면 플로드애미가 나타나 시스템에 설치됐다.
이 3월의 공격을 실시한 건 TA505라고 분류되는 그룹으로 보인다. 드리덱스, 록키뿐만 아니라 글로브임포스터(GlobeImposter) 캠페인을 실시한 단체다. 아직 이번 공격의 동기나 수법, 최종 목표가 완전히 분석된 건 아니지만, 힉비는 “과거 행적과 범죄 수법을 봤을 때 아마도 TA505는 조직화된 범죄 단체인 것 같다”고 말한다.
현재 네커스 캠페인은 잠시 정지된 상태다. 뮤어러는 “공격자들이 지금쯤 자신들의 C&C 인프라를 점검하면서 어떤 식의 공격이 가장 효과적이었는지를 분석하고 있을 것”이라고 예상한다. “.pub 파일이 어느 정도의 효용성을 보였는지, 혹은 PDF 파일을 사용하는 게 더 나은지를 분석하고 있을 겁니다.”
그리고 두 파일 모두에서 큰 효과가 없었다고 판단된다면 “아마도 처음으로 되돌아가 새로운 캠페인을 시작할 것”으로 보인다. “만약 네커스가 새로운 피싱 캠페인을 시작하는 게 목격되었는데, 사용되는 파일이 .pub라면 이번 실험에서 만족스러운 결과가 나온 것이라고 볼 수 있습니다. 새로운 파일이라면, 이번 실험 결과가 그리 만족스럽지 않은 것이었겠죠.”
이번 네커스 캠페인의 발견은 은행권에 경고를 발령하는 소식과 같다. 은행들은 네트워크 보안을 보다 강화하여야 하고, 특히 이메일 게이트웨이를 점검하는 것이 필요하다. “은행 직원들에 대한 교육도 보강해야 합니다. 특히 임직원들 모두 피싱에 대해 더 잘 이해할 필요가 있습니다. 은행이 범죄의 목표라는 것은, 은행 직원들이 노려지고 있다는 것과 같은 뜻입니다.”
3줄 요약
1. 네커스 봇넷, 은행권 노리고 새로운 피싱 캠페인 펼치기 시작.
2. 최종 페이로드는 플로드애미라는 RAT. 공격자의 정확한 의도는 아직 파악 중.
3. 은행권은 네트워크 보안 강화와 피싱에 대한 임직원 교육 필요.
[국제부 문가용 기자(globoan@boannews.com)]
마지막에 RAT 설치되긴 하지만 공격자의 진짜 의도 파악은 아직 되지 않아
[보안뉴스 문가용 기자] 네커스(Necurs) 봇넷이 새로운 피싱 캠페인에 연루됐다. 이 피싱 캠페인은 은행권을 노린 것으로, 악성 MS 퍼블리셔 및 PDF 파일을 퍼트리고 있다. 확산되고 있는 이 파일들은 플로드애미(FlawedAmmyy)라는 원격 접근 트로이목마(RAT)에 감염되어 있다.
[이미지 = iclickart]
이 캠페인을 처음 발견한 건 보안 업체 코펜스(Cofense)의 전문가들이다. 8월 15일까지 3071개의 은행 도메인들이 이 공격에 당했다는 것을 확인했다. 지역 내 작은 은행들부터 국제적인 명성을 떨치고 있는 금융 기관까지, 다양한 조직들에 이 공격이 미쳤다.
네커스는 2012년에 처음 발견된 루트킷으로 2016년 드리덱스(Dridex)라는 뱅킹 멀웨어와 록키(Locky)라는 랜섬웨어를 대량으로 퍼트리면서 유명해졌다. 그리고 이번에 다시 나타난 건데, 네커스를 이용한 공격자들이 다양한 전략들을 시험 적용해보고 있는 것으로 분석된다.
코펜스의 수석 연구 엔지니어인 제이슨 뮤어러(Jason Meurer)는 “이번 공격만 보자면, 기존 네커스 기반 공격과 확실한 차이가 있다”고 말한다. “마치 마케팅과 관련된 리서치 행위가 이어지는 것 같은 느낌입니다. 이른바 에이비 테스팅(A/B Testing)이 이뤄지고 있는 것 같은 모습이기도 합니다.”
기존 네커스와 이번 네커스 캠페인의 차이점은 다음과 같다.
1) 기존의 무차별적인 스팸과 다르다. 이번 공격은 오로지 은행 등의 금융 기관만을 노린 피싱 공격이다. 악성 첨부파일을 통해 RAT을 심는 것이 최종 목표다.
2) MS 퍼블리셔 파일을 이용한다. 이전에는 MS 워드와 MS 엑셀 파일이 활용됐다.
3) PDF 파일도 일부 발견됐다. 퍼블리셔 파일과 동일한 기능을 하는 것으로 보아 공격자들이 파일 포맷에 따른 결과의 차이를 실험해보는 것으로 분석된다.
코펜스의 CTO인 아론 힉비(Aaron Higbee)는 “피싱 공격에서 퍼블리셔 파일이 사용되는 건 매우 드문 일”이라고 설명한다. “과거에 잠깐 퍼블리셔 파일이 악성 공격에 활용된 적이 있긴 하지만, 이 공격이 성공하려면 사용자들이 퍼블리셔라는 프로그램을 반드시 가지고 있어야만 하기 때문에 사이버 범죄자들 사이에서 그리 인기가 높지는 않습니다.”
또한 이번 캠페인에서 사용된 이메일은 상당히 ‘기초적’이라고 한다. 제목은 “BOI 요청”이나 “지불 관련 안내”라는 문구에, 숫자와 알파벳으로 구성된 암호 코드가 붙어있는 형식이다. 주소는 인도의 어떤 은행에서 온 것과 같이 꾸며져 있다. 별개의 사건이긴 하지만 최근 인도 은행인 코스모스(Cosmos)는 1350만 달러를 ATM을 겨냥한 사이버 공격으로 잃기도 했다.
힉비는 “인도 은행에서 온 것과 같은 가짜 메일과, 최근 코스모스에서 일어난 사건 사이에 직접적인 연관성은 없더라도, 아예 상관이 없다고 보기 힘들다”고 말한다. “어쩌면 지금 네커스 공격자들이 ATM 공격을 염두에 두고 네트워크에 대한 접근을 연구하고 있는 것일 수도 있습니다.”
악성 .pub 문건들에는 원격 호스트로부터 파일을 다운로드 받고 실행시키는 매크로가 담겨져 있다고 코펜스는 블로그를 통해 설명했다. “최종 페이로드는 플로드애미라는 유명한 멀웨어입니다. 애미 어드민(Ammyy Admin)의 소스코드가 유출되면서 만들어진 멀웨어죠. 한 번 설치되면 공격자가 시스템에 대한 원격 통제권을 얻어가게 됩니다. 여기서부터 파일이나 크리덴셜 정보가 도난당하죠. 네트워크 내에서 횡적으로 움직일 수도 있고요.”
2016년부터 사용되어 온 플로드애미의 정체가 제대로 분석된 건 2018년 초의 일이다. 그리고 가장 최근에 실제 공격에 사용된 건 2018년 3월이다. 당시 공격자들은 SMB 프로토콜을 이용해 악성 ZIP 파일을 퍼트리고 있었고, ZIP 파일을 풀면 플로드애미가 나타나 시스템에 설치됐다.
이 3월의 공격을 실시한 건 TA505라고 분류되는 그룹으로 보인다. 드리덱스, 록키뿐만 아니라 글로브임포스터(GlobeImposter) 캠페인을 실시한 단체다. 아직 이번 공격의 동기나 수법, 최종 목표가 완전히 분석된 건 아니지만, 힉비는 “과거 행적과 범죄 수법을 봤을 때 아마도 TA505는 조직화된 범죄 단체인 것 같다”고 말한다.
현재 네커스 캠페인은 잠시 정지된 상태다. 뮤어러는 “공격자들이 지금쯤 자신들의 C&C 인프라를 점검하면서 어떤 식의 공격이 가장 효과적이었는지를 분석하고 있을 것”이라고 예상한다. “.pub 파일이 어느 정도의 효용성을 보였는지, 혹은 PDF 파일을 사용하는 게 더 나은지를 분석하고 있을 겁니다.”
그리고 두 파일 모두에서 큰 효과가 없었다고 판단된다면 “아마도 처음으로 되돌아가 새로운 캠페인을 시작할 것”으로 보인다. “만약 네커스가 새로운 피싱 캠페인을 시작하는 게 목격되었는데, 사용되는 파일이 .pub라면 이번 실험에서 만족스러운 결과가 나온 것이라고 볼 수 있습니다. 새로운 파일이라면, 이번 실험 결과가 그리 만족스럽지 않은 것이었겠죠.”
이번 네커스 캠페인의 발견은 은행권에 경고를 발령하는 소식과 같다. 은행들은 네트워크 보안을 보다 강화하여야 하고, 특히 이메일 게이트웨이를 점검하는 것이 필요하다. “은행 직원들에 대한 교육도 보강해야 합니다. 특히 임직원들 모두 피싱에 대해 더 잘 이해할 필요가 있습니다. 은행이 범죄의 목표라는 것은, 은행 직원들이 노려지고 있다는 것과 같은 뜻입니다.”
3줄 요약
1. 네커스 봇넷, 은행권 노리고 새로운 피싱 캠페인 펼치기 시작.
2. 최종 페이로드는 플로드애미라는 RAT. 공격자의 정확한 의도는 아직 파악 중.
3. 은행권은 네트워크 보안 강화와 피싱에 대한 임직원 교육 필요.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
