최소 두 개 단체가 환대산업을 전문적으로 노리고 있어…많은 나라들에서 피해 속출
[보안뉴스 문가용 기자] 환대산업을 겨냥한 사이버 공격이 급증하고 있다고 보안 업체 카스퍼스키(Kaspersky)가 경고했다. 최근 이 산업에 속한 기업들을 겨냥한 원격 접근 트로이목마(RAT)가 기승을 부리고 있다고 한다.
[이미지 = iclickart]
카스퍼스키가 특별히 지목해서 경고한 건 리벤지호텔즈(RevengeHotels)라는 공격 캠페인이다. 이는 2015년부터 시작된 캠페인으로, 호텔, 기숙사, 여행사 등을 겨냥해 신용카드 정보를 훔치는 것을 목표로 한다. 시간이 지나면서 온라인 여행사 티켓 판매 대행 업체들도 공격 대상이 되었다(예 : 부킹닷컴).
이 캠페인은 주로 악성 워드, 엑셀, PDF 파일이 첨부된 이메일로부터 시작한다. 익스플로잇 하려는 취약점은 여러 가지인데 CVE-2017-0199가 가장 빈번하게 나타난다. 취약점 익스플로잇에 성공한 이후에는 리벤지랫(RevengeRAT), 엔제이랫(NjRAT), 나노코어랫(NanoCoreRAT), 888랫(888RAT), 프로씨씨(ProCC) 등이 설치된다.
카스퍼스키의 보안 전문가들은 현재 환대산업을 노리는 공격 단체 두 곳을 적발해냈다고 한다. 편의상 리벤지호텔즈와 프로씨씨로 나눠서 부르고 있다. 두 단체 모두 비슷한 공격 인프라와 도구, 기술을 활용하지만 아직까지는 겹치는 부분을 전혀 발견한 바 없다. 소셜 엔지니어링 공격 기법을 주로 활용하고, 동적 DNS 서비스를 사용하며, 훔친 크리덴셜을 판매하면서 수익을 낸다.
카스퍼스키는 “최소 두 개의 단체가 환대산업을 활발하게 노리고 있다는 것에 대해 상당한 확신을 갖고 있다”고 발표했다. “그런데 수상한 공격 단체를 또 하나 발견했습니다. 아직까지 환대산업만 노리는 단체인지, 여러 산업을 무차별적으로 공격하는 자들인지는 확실히 알 수 없습니다. 아직 조금 더 정보를 취합해야 이들에 대한 보다 뚜렷한 묘사가 가능할 것 같습니다.”
공격자들이 사용하는 스피어피싱은 상세하게 맞춤형으로 설정되어 있었다. 심지어 타이포스쿼팅(typosquatting : 정상 도메인 주소에서 한두 글자만 교묘하게 바꿘 가짜 도메인 이름) 기법을 사용해 정상적으로 보이는 회사의 홈페이지까지도 마련하는 치밀함을 보이기도 했다. “주로 다수 여행객에 대한 견적을 문의하는 내용의 메일이 피해자들에게 전송됩니다. 그러면서 공격자들은 특정 호텔에 많은 인원이 숙박할 때 가격을 묻고, 그 호텔을 선택한 이유를 상세하게 밝히기도 합니다.”
이 이메일이 첨부된 악성 파일을 피해자가 열면 원격 OLE 객체가 템플릿 주입 기법을 통해 드롭된다. 이 객체는 파워셸 명령어가 포함된 악성 매크로를 실행하고, 이 파워셸 명령어들은 최종 페이로드를 다시 한 번 다운로드 받아 실행시킨다. “리벤지호텔즈는 리벤지랫이 숨겨져 있는 닷넷(.NET) 바이너리를 사용하는 편입니다. 여기에 다른 모듈이 추가되는 경우가 있습니다.”
2016년에 발견된 리벤지호텔즈 캠페인에서는 두 개의 모듈이 주로 피해자 시스템에 심겨졌었다. 하나는 백도어 기능을 하는 것이었고, 다른 하나는 스크린샷을 캡쳐하는 기능을 가진 것이었다. 그러나 시간이 지나면서 이 두 가지 모듈은 하나의 멀웨어로 합쳐졌으며, 클립보드에 저장된 데이터를 훔치는 기능도 덧붙었다.
프로씨씨 그룹의 경우 델파이(Delphi)로 만든 바이너리를 주로 활용하는 모습을 보인다. 이들이 사용하는 백도어는 맞춤형으로 제작되는 것으로 보이지만 클립보드와 프린터 스풀러로부터 데이터를 훔쳐내는 것을 핵심 기능인 것은 어떤 버전에서나 변함이 없다.
“예약을 담당하는 직원들은 대부분 OTA 웹사이트에서 신용카드 정보를 받습니다. 때문에 클립보드만 잘 건드려도 카드 정보를 대량으로 입수하는 게 가능해지죠. 그리고 예약 확인 및 발송 작업에 인쇄도 많이 하기 때문에 프린터기도 노리는 것입니다. 공격자들이 여행 사이트나 예약과 관련된 프로세스를 잘 이해하고 있습니다.”
어떤 공격자들은 호텔 관리자 소프트웨어를 직접 공격하기 위해 프론트 데스크나 로비의 컴퓨터를 겨냥하기도 한다.
리벤지호텔즈 캠페인은 아르헨티나, 볼리비아, 브라질, 칠레, 코스타리카, 프랑스, 이탈리아, 멕시코, 포르투갈, 스페인, 태국, 터키에서 현재까지 발견됐다. 하지만 이것이 전부는 아닐 것이라고 카스퍼스키는 보고 있다.
3줄 요약
1. 호텔을 위시로 한 환대산업 노리는 공격 단체 두세 개 발견됨.
2. 스피어피싱을 이용한 고도의 소셜 엔지니어링 기법이 공통적으로 나타남.
3. 공격자들의 최종 목적은 크리덴셜과 신용카드 정보.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>