여러 해킹 단체가 공격에 활용한 대여 서비스...TA505가 멀웨어 퍼트리기도
[보안뉴스 문가용 기자] 최근 미국의 납세자들을 겨냥한 피싱 공격이 발견됐다. 이를 처음 알게 된 보안 업체 코펜스(Cofense)에 의하면 이 피싱 공격자들의 목적은 아마디(Amadey)라는 멀웨어를 여러 시스템에 심어서 퍼트리는 것이라고 한다.
[이미지 = iclickart]
아마디는 꽤나 최근에 등장한, 그리고 간단한 구조로 이뤄진 멀웨어로, 봇넷 만드는 걸 주력으로 한다. 아마디 봇넷은 다른 사이버 범죄자들이 유료로 활용할 수 있는 공격 인프라다. 현재까지 여러 사이버 범죄 및 단체들이 이 인프라를 대여했는데, 그중 유명한 건 TA505다. 코펜스에 의하면 TA505는 아마디 봇넷을 통해 플로드애미(FlawedAmmy)라는 원격 접근 툴을 퍼트렸다고 한다.
“공격자들은 먼저 미국 국세청(IRS)에서 보낸 것처럼 만들어진 가짜 이메일을 만듭니다. 받는 자, 즉 피해자가 환급 대상자라는 내용을 담고 있습니다. 또한 일회용 사용자 이름과 일회용 비밀번호라는 정보도 담겨 있습니다. 이 정보를 활용해 얼른 로그인 해서 돈을 받아가라는 겁니다. 그렇게 ‘Login Right Here’ 버튼을 누르도록 유도하죠.”
피해자들이 이 버튼을 누를 경우 전혀 다른 도메인으로 연결된다. http://yosemitemanagement.com/fonts/page5/라는 곳이다. 여기에는 가짜 국세청 로그인 화면이 호스팅 되어 있다. 주소를 확인하지 않고 페이지 생김새만 확인할 경우, 사용자들은 여기에 사용자 이름과 비밀번호(메일에 언급된)를 입력하게 된다.
물론 공격자가 전해준 로그인 정보이기 때문에 로그인에 성공한다. 화면이 바뀌면 환급될 금액이 어느 정도라는 안내 정보가 나타난다. 환급 받으려면 양식을 작성해야 한다며 문서를 다운받도록 설명한다. 기입한 양식을 출력해 서명까지 해서 보내야 한다고 나와 있다. 그래서 다운로드를 받으면 문서가 아니라 ZIP 파일이 저장된다. 이 안에는 비주얼베이직 스크립트로 된 드로퍼가 숨겨져 있다.
이 VB스크립트는 고도의 난독화와 암호화 기술로 처리된 것으로, 실행파일을 하나 시스템에 드롭시키는 기능을 가지고 있다. 이 실행파일은 또 다른 실행파일을 설치하고 실행시킨다. 공격의 지속성을 확보하기 위해 아마디는 독자적인 레지스트리를 작성해 윈도우 부팅 시 자신이 실행되도록 만든다.
여기까지 시스템을 감염시키는 데 성공하면 아미디는 C&C 서버로 신호를 보낸다. 연결에 성공하면 시스템 정보를 보내고 다른 공격 명령이 전달될 때까지 가만히 기다린다. 아마디는 포트 80번의 HTTP를 통해 여러 C&C와의 연결성을 확보한다고 한다.
“아마디는 서버에 1) 고유 식별자, 2) 멀웨어 변종, 3) 운영 체제, 4) 백신 소프트웨어, 5) 시스템 이름, 6) 사용자 이름을 전송하는 것으로 현재까지는 알려져 있습니다.”
코펜스는 아직 아마디 배후에 있는 공격자들이 어느 정도로 사업을 유지하거나 확장하고 있는지 정확히 알지 못하고 있다. 하지만 “인프라를 확보해 대여하는 것이므로, 비단 미국의 납세자만이 아니라 세계 모든 인터넷 사용자들이 위험해질 수 있다는 건 확실하다”고 한다.
3줄 요약
1. 미국 납세자들 대상으로 퍼지고 있는 아마디 멀웨어.
2. 아마디는 봇넷을 구성하는 멀웨어.
3. 이 봇넷은 범죄자들 사이에서 유료 대여 상품임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>