끊임없이 새로운 도구를 익히고 사용하는 해킹 단체가 있다. 금전적인 이유로 공격을 실시하는 이블코프라는 단체다. 이들이 최근 백도어들을 대규모로 활용하기 위해 새로운 제어판을 활용하기 시작했는데, 이에 대한 분석 보고서가 발표됐다.
[보안뉴스 문가용 기자] 사이버 공격자들이 사용하는 새로운 제어판이 발견됐다. 이름은 테슬라건(TeslaGun)이며, 이블코프(Evil Corp)라는 사이버 범죄 단체가 서브헬퍼(ServHelper)라는 백도어를 운영 및 관리하는 데 사용하는 것으로 분석되고 있다.
[이미지 = utoimage]
보안 업체 프로대프트(PRODAFT)가 분석한 바에 의하면 이블코프는 대규모 피싱 캠페인을 운영하기 위해 테슬라건을 사용해 왔다고 한다. 개인과 조직을 합쳐 총 8천 명(개) 이상이 피해를 입었는데, 이 중 개인이 3600명이라고 한다. 특정 지역에 공격이 집중되지는 않은 것으로 보인다. 즉 세계 전역을 거쳐 공격이 진행되고 있다는 것이다.
서브헬퍼는 꽤나 오래 전부터 사용된 백도어로, 꾸준히 업데이트가 되고 있다. 2019년부터 본격적인 인기를 얻기 시작했고, 지금까지도 널리 사용된다고 시스코의 탈로스(Talos) 팀은 설명한다. “2021년 후반기부터 다시 한 번 전성기를 맞은 듯한 모습을 보이고 있습니다. 최근에는 각종 암호화폐 채굴 멀웨어를 피해자 시스템에 심는 역할을 하기도 합니다.”
참고로 백도어를 활용한 공격은 해커들 입장에서 여러 가지 장점을 가지고 있다.
1) 인증 장치를 우회하는 기능들을 가지고 있다.
2) 피해자의 시스템과 네트워크 내에서 공격 지속성을 확보할 수 있다.
3) 2)번 덕분에 최초 침투 방법이 사라져도 심어둔 백도어를 통해 지속적으로 침투할 수 있게 된다.
4) 다른 멀웨어를 추가로 심을 수도 있다.
하지만 이번 프로대프트의 보고서는 이블코프나 서브헬퍼가 아니라 새로 발견된 테슬라건에 집중하고 있다. 이를 통해 백도어를 활용한 사이버 공격의 최근 트렌드를 파악하고 보다 효과적인 방어를 할 수 있도록 하는 것이 보고서 작성의 목적이라고 한다.
보고서에 의하면 테슬라건이 활용된 캠페인을 추적하면서 다양한 피해자들을 발견할 수 있었다고 한다. 이는 공격자들이 특정 단체나 인물을 노리는 게 아니라 무차별적으로 광범위하게 공격을 진행하는 중이라고 추측할 수 있게 한다. “일례로 테슬라건 제어판에는 여러 개의 캠페인 기록들이 저장되어 있습니다. 각각 서브헬퍼를 유포하는 방식도 다르고 얻어낸 데이터도 다릅니다. 그리고 이러한 차이점이 각 캠페인에 고유하게 붙는 ID가 됩니다.”
이블코프가 테슬라건을 사용해 아무나 막 공격하는 것처럼 보이긴 하지만 한 번 걸려든 피해자들에 대한 파악과 정보 수집에는 매우 부지런하다고 프로대프트는 설명한다. “피해자들을 하나하나 프로파일링 한다는 사실이 계속해서 드러나고 있습니다. 프로파일링이 어느 정도 진행되면 정교한 표적 공격을 추가로 실시하기도 합니다.”
테슬라건의 주요 대시보드에는 피해자 기록에 대한 운영자들의 언급도 저장되어 있었다. 피해자의 CPU, GPU, RAM 정보와 연결 속도까지도 수집되어 있었다. “이 기록들을 보면, 공격자들이 궁극적으로 하고자 하는 건 암호화폐 채굴인 것으로 추정됩니다. 또한 온라인 뱅킹 및 상거래 사용자들을 찾는 것도 분명해 보입니다. 프로파일링을 통해 채굴이 가능한 시스템이나, 각종 사이버 금융 거래를 자주 이용하는 사람들을 물색하는 것이 아닐까 합니다.”
백도어 경제의 핵심 : 재판매
프로대프트는 테슬라건의 설정 방식을 분석했는데, 이를 통해 이블코프가 어떤 전략을 어떻게 운영하는지에 대해 깊이 있게 알 수 있었다고 한다. 예를 들어 일부 필터링 옵션에는 ‘Sell(판매)’이나 ‘Sell 2’라는 이름이 붙어 있었는데, 이 그룹에 속한 피해자들은 RDP가 일시적으로 비활성화 되어 있었다. “단기적인 수익을 얻기 힘든 부류들을 이렇게 분류한 것이 아닐까 합니다. 그래서 공격에 더 투자하지는 않되, RDP 연결 고리를 다른 사이버 범죄자들에게 판매하고자 한 것으로 보입니다.”
이런 식으로 분석을 해나가다 보니 “이블코프가 내부적으로 매우 엉망으로 조직되어 있다는 것을 알게 되었다”고 한다. “다만 이블코프 내부 인원들의 실력이나 작업 능력까지 엉망인 건 아닌 것으로 보입니다. 참을성 있게 자신들에게 걸려든 피해자를 모니터링 하는 것으로 보이거든요. 특히 금융 업계에 있는 피해자일 경우 이들은 더욱 막강한 집요함을 보입니다.”
또한 단체가 정교하게 조직되지 않기 때문에 유연성에 있어서는 뛰어난 면모를 선보인다고 한다. “그래서 이들의 다음 행동이 잘 예측되지 않습니다. 또한 패턴을 추출하기도 힘들기 때문에 탐지가 어렵게 됩니다. 하지만 이들도 같은 인간이고, 그래서 실수를 하며, 이 때문에 어느 정도의 추적과 분석이 가능한 것입니다.”
프로대프트에 의하면 이블코프가 해커들의 모임으로서는 꽤나 뛰어난 면모를 가지고 있는 게 사실이지만 어쩔 수 없는 약점들도 가지고 있다고 한다. “피해자의 시스템에 수개월 동안 조용히 잠입할 수도 있는, 실력 있는 단체입니다. 그런데 꽤나 소란스럽기도 합니다. 서브헬퍼를 설치하는 데 성공하고 나서는 RDP 터널링 기법을 통해 피해자 장비에 수동으로 접속하는데요, 이는 터널 감시 보안 솔루션만 있으면 바로 탐지되는 행동입니다. 즉 이번 캠페인의 중요 방어 방법 중 하나가 터널을 모니터링 하는 거라는 뜻입니다.”
이블코프는 금융계의 커다란 위협 중 하나인 드리덱스(Dridex) 멀웨어를 제작한 장본인들이기도 하고, 그 이유로 현재 미국 재무부의 제재 대상이기도 하다. 미국 정부는 이들이 웨이스티드락커(WastedLocker) 등 랜섬웨어 변종들도 공격에 활용한 것으로 보고 있다. 얼마 전에는 라즈베리 로빈(Raspberry Robin)이라는 USB 기반 멀웨어를 사용한 것으로 집중 조명을 받기도 했다.
보안 업계에서 이블코프의 가장 큰 강점이 여러 해킹 도구를 끊임없이 익힌다는 것이라고 보고 있다. 계속해서 새로운 도구들을 들고 나타나기 때문에 탐지와 추적이 매우 까다로워지고, 이는 다시 방어 자체의 난이도를 높이는 결과를 낳는다. 서브헬퍼나 테슬라건 역시 이들이 얼마나 더 사용하다가 버릴 지 예측할 수 없다.
4줄 요약
1. 악명 높은 해킹 단체 이블코프, 새로운 백도어 관리 패널 사용.
2. 이 관리 패널 혹은 제어판의 이름은 테슬라건.
3. 테슬라건으로 서브헬퍼라는 유명 백도어를 심고 관리함.
4. 최종 목적은 암호화폐 채굴과 온라인 뱅킹 사용자 발굴 및 공격으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 사이버 공격자들이 사용하는 새로운 제어판이 발견됐다. 이름은 테슬라건(TeslaGun)이며, 이블코프(Evil Corp)라는 사이버 범죄 단체가 서브헬퍼(ServHelper)라는 백도어를 운영 및 관리하는 데 사용하는 것으로 분석되고 있다.
[이미지 = utoimage]
보안 업체 프로대프트(PRODAFT)가 분석한 바에 의하면 이블코프는 대규모 피싱 캠페인을 운영하기 위해 테슬라건을 사용해 왔다고 한다. 개인과 조직을 합쳐 총 8천 명(개) 이상이 피해를 입었는데, 이 중 개인이 3600명이라고 한다. 특정 지역에 공격이 집중되지는 않은 것으로 보인다. 즉 세계 전역을 거쳐 공격이 진행되고 있다는 것이다.
서브헬퍼는 꽤나 오래 전부터 사용된 백도어로, 꾸준히 업데이트가 되고 있다. 2019년부터 본격적인 인기를 얻기 시작했고, 지금까지도 널리 사용된다고 시스코의 탈로스(Talos) 팀은 설명한다. “2021년 후반기부터 다시 한 번 전성기를 맞은 듯한 모습을 보이고 있습니다. 최근에는 각종 암호화폐 채굴 멀웨어를 피해자 시스템에 심는 역할을 하기도 합니다.”
참고로 백도어를 활용한 공격은 해커들 입장에서 여러 가지 장점을 가지고 있다.
1) 인증 장치를 우회하는 기능들을 가지고 있다.
2) 피해자의 시스템과 네트워크 내에서 공격 지속성을 확보할 수 있다.
3) 2)번 덕분에 최초 침투 방법이 사라져도 심어둔 백도어를 통해 지속적으로 침투할 수 있게 된다.
4) 다른 멀웨어를 추가로 심을 수도 있다.
하지만 이번 프로대프트의 보고서는 이블코프나 서브헬퍼가 아니라 새로 발견된 테슬라건에 집중하고 있다. 이를 통해 백도어를 활용한 사이버 공격의 최근 트렌드를 파악하고 보다 효과적인 방어를 할 수 있도록 하는 것이 보고서 작성의 목적이라고 한다.
보고서에 의하면 테슬라건이 활용된 캠페인을 추적하면서 다양한 피해자들을 발견할 수 있었다고 한다. 이는 공격자들이 특정 단체나 인물을 노리는 게 아니라 무차별적으로 광범위하게 공격을 진행하는 중이라고 추측할 수 있게 한다. “일례로 테슬라건 제어판에는 여러 개의 캠페인 기록들이 저장되어 있습니다. 각각 서브헬퍼를 유포하는 방식도 다르고 얻어낸 데이터도 다릅니다. 그리고 이러한 차이점이 각 캠페인에 고유하게 붙는 ID가 됩니다.”
이블코프가 테슬라건을 사용해 아무나 막 공격하는 것처럼 보이긴 하지만 한 번 걸려든 피해자들에 대한 파악과 정보 수집에는 매우 부지런하다고 프로대프트는 설명한다. “피해자들을 하나하나 프로파일링 한다는 사실이 계속해서 드러나고 있습니다. 프로파일링이 어느 정도 진행되면 정교한 표적 공격을 추가로 실시하기도 합니다.”
테슬라건의 주요 대시보드에는 피해자 기록에 대한 운영자들의 언급도 저장되어 있었다. 피해자의 CPU, GPU, RAM 정보와 연결 속도까지도 수집되어 있었다. “이 기록들을 보면, 공격자들이 궁극적으로 하고자 하는 건 암호화폐 채굴인 것으로 추정됩니다. 또한 온라인 뱅킹 및 상거래 사용자들을 찾는 것도 분명해 보입니다. 프로파일링을 통해 채굴이 가능한 시스템이나, 각종 사이버 금융 거래를 자주 이용하는 사람들을 물색하는 것이 아닐까 합니다.”
백도어 경제의 핵심 : 재판매
프로대프트는 테슬라건의 설정 방식을 분석했는데, 이를 통해 이블코프가 어떤 전략을 어떻게 운영하는지에 대해 깊이 있게 알 수 있었다고 한다. 예를 들어 일부 필터링 옵션에는 ‘Sell(판매)’이나 ‘Sell 2’라는 이름이 붙어 있었는데, 이 그룹에 속한 피해자들은 RDP가 일시적으로 비활성화 되어 있었다. “단기적인 수익을 얻기 힘든 부류들을 이렇게 분류한 것이 아닐까 합니다. 그래서 공격에 더 투자하지는 않되, RDP 연결 고리를 다른 사이버 범죄자들에게 판매하고자 한 것으로 보입니다.”
이런 식으로 분석을 해나가다 보니 “이블코프가 내부적으로 매우 엉망으로 조직되어 있다는 것을 알게 되었다”고 한다. “다만 이블코프 내부 인원들의 실력이나 작업 능력까지 엉망인 건 아닌 것으로 보입니다. 참을성 있게 자신들에게 걸려든 피해자를 모니터링 하는 것으로 보이거든요. 특히 금융 업계에 있는 피해자일 경우 이들은 더욱 막강한 집요함을 보입니다.”
또한 단체가 정교하게 조직되지 않기 때문에 유연성에 있어서는 뛰어난 면모를 선보인다고 한다. “그래서 이들의 다음 행동이 잘 예측되지 않습니다. 또한 패턴을 추출하기도 힘들기 때문에 탐지가 어렵게 됩니다. 하지만 이들도 같은 인간이고, 그래서 실수를 하며, 이 때문에 어느 정도의 추적과 분석이 가능한 것입니다.”
프로대프트에 의하면 이블코프가 해커들의 모임으로서는 꽤나 뛰어난 면모를 가지고 있는 게 사실이지만 어쩔 수 없는 약점들도 가지고 있다고 한다. “피해자의 시스템에 수개월 동안 조용히 잠입할 수도 있는, 실력 있는 단체입니다. 그런데 꽤나 소란스럽기도 합니다. 서브헬퍼를 설치하는 데 성공하고 나서는 RDP 터널링 기법을 통해 피해자 장비에 수동으로 접속하는데요, 이는 터널 감시 보안 솔루션만 있으면 바로 탐지되는 행동입니다. 즉 이번 캠페인의 중요 방어 방법 중 하나가 터널을 모니터링 하는 거라는 뜻입니다.”
이블코프는 금융계의 커다란 위협 중 하나인 드리덱스(Dridex) 멀웨어를 제작한 장본인들이기도 하고, 그 이유로 현재 미국 재무부의 제재 대상이기도 하다. 미국 정부는 이들이 웨이스티드락커(WastedLocker) 등 랜섬웨어 변종들도 공격에 활용한 것으로 보고 있다. 얼마 전에는 라즈베리 로빈(Raspberry Robin)이라는 USB 기반 멀웨어를 사용한 것으로 집중 조명을 받기도 했다.
보안 업계에서 이블코프의 가장 큰 강점이 여러 해킹 도구를 끊임없이 익힌다는 것이라고 보고 있다. 계속해서 새로운 도구들을 들고 나타나기 때문에 탐지와 추적이 매우 까다로워지고, 이는 다시 방어 자체의 난이도를 높이는 결과를 낳는다. 서브헬퍼나 테슬라건 역시 이들이 얼마나 더 사용하다가 버릴 지 예측할 수 없다.
4줄 요약
1. 악명 높은 해킹 단체 이블코프, 새로운 백도어 관리 패널 사용.
2. 이 관리 패널 혹은 제어판의 이름은 테슬라건.
3. 테슬라건으로 서브헬퍼라는 유명 백도어를 심고 관리함.
4. 최종 목적은 암호화폐 채굴과 온라인 뱅킹 사용자 발굴 및 공격으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
