전 세계를 여행한 마르코 폴로라는 인물에서부터 이름을 얻은 위협 그룹이 나타났다. 이들은 다양한 전술과 도구를 자기들 마음대로 활용해 전 세계 곳곳에서 자기들이 원하는 정보를 훔쳐내고 있다.
[보안뉴스 문가용 기자] 정보 탈취 공격이라는 것을 한두 차원 높은 위협으로 탈바꿈시킨 해킹 그룹이 나타났다. 이름은 마르코폴로(Marko Polo)라고 하며, 이미 전 세계 곳곳에 있는 컴퓨터 장비 수만 대를 감염시켰다. 그러면서 각종 데이터를 훔쳐내고 있다. 보안 업체 레코디드퓨처(Recorded Future)는 지난 수개월 동안 이들을 추적하며 30개 이상의 사기 캠페인을 이들이 진행하고 있음을 확인할 수 있었다고 한다. 즉 한 거대 캠페인에 최소 30개의 하위 캠페인이 포함되어 있었던 것이다.
[이미지 = Gettyimagesbank]
“마르코폴로는 주로 게이머, 암호화폐 분야의 인플루언서, 소프트웨어 개발자 등 기술 분야에 익숙한 사람들을 주로 노리고 있습니다. 이런 사람들로부터 여러 정보를 훔치기 위해 인포스틸러, 즉 정보 탈취형 멀웨어를 유포하고 있는데 현재까지 아모스(AMOS), 스틸씨(Stealc), 라다만티스(Rhandamanthys), 하이잭로더(HijackLoader) 등이 발견됐습니다. 침투와 감염을 위한 기법에서부터 사용하는 도구들까지 다변화되어 있는 공격이기 때문에 깊이 있는 방어 체계가 필요한 상황입니다.” 레코디드퓨처의 설명이다.
마르코폴로란 무엇인가?
레코디드퓨처에 의하면 마르코폴로는 한 마디로 “고도로 발전된, 기민하고 적응력 뛰어난 사이버 범죄 조직”이라고 한다. “이들은 사기 공격을 하기 위한 정교한 네트워크를 구축하여 이미 전 세계 곳곳에서 피해를 일으키고 있습니다. 자신들의 이러한 네트워크를 통해 온라인 게임과 생산성 소프트웨어, 암호화폐 관련 서비스를 사칭하는 방식으로 공격을 실시하는 중입니다.”
레코디드퓨처가 그 동안 이들을 추적하며 발견한 것은 다음과 같다.
1) 30개 이상의 사기 수법
2) 50개 이상의 고유 악성 코드 및 페이로드
3) 수십 개의 악성 도메인
4) 수백 개의 가짜 소셜미디어 계정
이 숫자는 지금 이 순간에도 빠르게 늘어나고 있다고 하며, 피해는 계속해서 커져가는 상황이라고 레코디드퓨처는 경고하고 있다.
아직 피해 규모는 집계가 되지 않았다. 하지만 공격에 사용되는 것들이 위에 열거한 것처럼 대단히 많기 때문에 이미 이들이 퍼트린 멀웨어에 감염된 장비들이 족히 수만 대는 될 것으로 레코디드퓨처는 보고 있다. “그렇다는 건 수십만~수백만 명의 민감 데이터가 도난당했다는 뜻이 됩니다. 소비자 개개인의 프라이버시는 물론 기업들의 비즈니스 연속성에도 악영향을 미칠 만한 준비가 되어 있다는 뜻입니다. 아마 이미 수백만 달러 이상의 불법 수익을 창출하고 있지 않을까 합니다.”
흥미롭게도 마르코폴로의 주요 표적은 IT 기술에 능숙한 사람들, 즉 일반인보다 정보 보안이라는 측면에서 더 예민할 것만 같은 사람들이라고 레코디드퓨처는 지적한다. “온라인 게이머, 소프트웨어 개발자, 암호화폐 전문가 등이 주요 표적이니까요. 그만큼 공격자들은 이런 부류의 사람들도 속일 수 있을 거라고 자신하고 있다고 볼 수 있습니다. IT 분야의 종사자들이라고 하더라도 실제 생활하는 면에 있어서 보안 정신이 투철하게 발휘되지 않는다는 걸 알고 있는 것일 수도 있고요.”
말 그대로 ‘전 세계’를 위협하는 마르코폴로
현재 마르코폴로가 저지른 사기 캠페인은 30개 이상이다. 대다수가 소셜미디어를 통해 이뤄진 것으로, 소셜 엔지니어링 공격에 매우 능숙하다는 걸 알 수 있다. 또한 이들은 자신들이 악의적으로 손을 본 가짜 줌(Zoom) 빌드나 소프트웨어 크랙, 악성 토렌트 다운로드 링크 파일 등 무기로 활용할 만한 도구를 20개 이상 보유하고 있으며, 이를 여러 캠페인에서 고루 사용하는 중이라고 한다. “여러 가지 공격 기법을 동원할 줄 아는 유연한 그룹입니다. 그래서 더 위협적이죠. 한 가지 수법이 막히면 금방 다른 것으로 전환할 수 있으니까요.”
암호화폐 사용자나 전문가들을 대상으로 하는 스피어피싱도 여러 차례 발견되고 있다. “소셜미디어를 통해 이런 사람들에게 접근한 후 금전적 피해를 일으키고 있습니다. 디지털 금융 분야, 특히 암호화폐 분야를 건드려 높은 가치를 창출하는 것이 이들의 주요 목표 중 하나라는 걸 알 수 있습니다. 또한 정보 탈취형 멀웨어를 심어놓고 장기적으로 정보를 빼돌리기도 하는데, 그렇다는 건 이들이 장기적 작전까지도 염두에 두고 지금 공격을 실시한다는 걸 보여줍니다. 세계 여러 조직들에 장기적 피해가 있을 것으로 예상됩니다.”
일부 사례들
2024년 6월 소셜미디어에서 파티월드(PartyWorld)라는 게임이 잠시 유행한 적이 있었는데, 레코디드퓨처네 의하면 이것이 마르코폴로의 대표적인 사기 사건이라고 한다. “암호화폐 사기 공격이나 정보 탈취형 멀웨어 설치로 이어지는 캠페인이었습니다. 마르코폴로는 가짜 소셜미디어 계정을 대량으로 만들거나 구매하여 이 게임을 홍보하고 퍼트렸습니다. 비슷하게는 파티로얄(Party Royale)이라는 게임도 이런 식으로 악용한 적이 있습니다.”
이런 홍보나 설치 유도에 속아 파티월드 웹사이트(이 역시 악성 웹사이트였다)에 접속할 경우 윈도 사용자는 드롭박스를 통해 한 실행파일이 다운로드 되도록 마르코폴로는 일을을꾸몄다. 맥OS 사용자라면 맥OS 상에서 실행되는 파일이 다운로드 되도록 만들었다. “하지만 이 파일을 받아 설치할 경우 실제로 시스템에 설치되는 건 윈도의 경우 하이잭로더, 스틸씨, 라다만티스이고 맥OS의 경우 아모스입니다. 전부 정보를 탈취하기 위한 멀웨어들이죠.”
보리온(Vorion)이라는 소프트웨어를 가지고 암호화폐 전문가들을 낚았던 사례도 있었다. “가상 회의 소프트웨어 중에 보택스(Vortax)라는 게 있습니다. 거기서 새롭게 파생된 브랜드라며 마르코폴로가 보리온을 홍보하고 퍼트리기 시작했습니다. 2024년 중반쯤에 진행된 캠페인인데, 주로 피해자들에게 구직을 미끼로 삼아 접근한 후 면접을 위해 보리온을 설치하도록 유도하는 식이었습니다. 암호화폐 전문가들은 스카웃 제의를 받은 것으로 착각해 이 소프트웨어를 설치했지만, 사실은 인포스틸러였던 것입니다.”
비슷한 것으로 브이덱(VDeck) 사기 캠페인이 있다. 브이덱 역시 가상 회의를 위한 소프트웨어로, 마르코폴로는 위의 보리온과 유사한 방식으로 피해자들에게 접근해 브이덱을 다운로드 받도록 유도했다. “이들은 계속해서 가상 회의를 위한 앱을 리브랜딩하거나 사칭해서 피해자들을 공략할 거라고 봅니다. 구인과 구직 관련 제안이 들어왔을 때 보다 더 철저히 확인해야 할 필요가 있습니다.”
눈에 띄는 것으로는 ‘룬 온라인(Rune Online)’이라는 가짜 게임으로 피해자들을 양산하는 수법이 있다. “룬 온라인은 웹 기반 MMORPG 게임으로 소개되고 있습니다. 이미 인기가 입증된 과거 명작인 룬스케이프(RuneScape)와 라이즈 온라인 월드(Rise Online World)가 합쳐진 게임이라고 광고하고 있지요. 마르코폴로는 이 게임과 관련된 소셜미디어 활동을 왕성하게 하고 있기도 합니다. 링크드인, 엑스, 인스타그램, 디스코드 등 여러 계정으로 온라인 활동이 이어지고 있는데, 그러니 사람들이 가짜라고 생각하기 힘듭니다.”
여기에 속아 룬 온라인 웹사이트에 접속하면 윈도와 맥OS에 맞는 클라이언트를 다운로드 하라는 안내가 나온다. 여러 온라인 게임들도 이런 식으로 시작한다. “하지만 윈도 버전 클라이언트를 다운로드 하면 스틸씨가 설치되고 맥OS 버전을 다운로드 하면 아모스가 설치됩니다. 이들은 피해자 시스템 뒷단에서 조용히 정보를 빼돌립니다. 게임은 전혀 돌아가지 않고요.”
그 외에 이들이 사칭하는 것들은 다음과 같다.
1) 와스퍼(Wasper) : AI 기반 협업 소프트웨어로 광고되고 있다.
2) 스펙트라룸(SpectraRoom)과 룸(Room) : 오픈소스 암호 통신 애플리케이션으로 광고되고 있다.
3) 타이디미(TidyMe)와 섭미(SupMe) : 글로벌 디지털 경제 플랫폼으로 광고되고 있다.
4) 줌 회의 클라이언트 사칭 : 최소 6개 도메인이 발견되었다.
어떻게 대응해야 하는가
레코디드퓨처의 경우 다음과 같은 대응책을 제시하고 있다.
1) 엔드포인트 보안 강화 : 인포스틸러 등 멀웨어가 설치되는 것을 최대한 방지한다.
2) 웹 필터링 및 모니터링 : 악성 도메인이나 다운로드 출처를 기술적으로 차단할 수 있어야 한다. 특히 크래킹 된 소프트웨어가 다운로드 되지는 않는지 확인한다.
3) 망 분리 : 망을 세부적으로 분리하여 악성코드나 위협들이 마구 퍼지지 않도록 한다.
4) 행동 패턴 분석 : 비정상 행위가 나타날 때 경보가 울리게 한다.
5) 위협 모니터링 : 마르코폴로는 지금도 변화하는 중이다. 따라서 침해지표가 자주 변경되는데, 이런 소식들을 부지런히 업데이트 하는 게 중요하다.
6) 사용자 교육 : 마르코폴로의 수법들을 사용자들에게 알려서 위험을 최소화 하는 게 효과적이다.
7) 사건 대응 계획 : 마르코폴로의 인포스틸러에 감염되었을 때의 상황을 상정해 대응책을 시나리오별로 마련한다.
3줄 요약
1. 정보 탈취 멀웨어 유행한다 싶더니, 전 세계적으로 퍼트리는 조직이 나타남.
2. 이들은 30개 캠페인을 한꺼번에 벌이고, 다양한 멀웨어를 유포하고 있음.
3. 광범위한 공격을 이어가고 있기 때문에 피해 상황을 집계하기도 어려울 정도.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 정보 탈취 공격이라는 것을 한두 차원 높은 위협으로 탈바꿈시킨 해킹 그룹이 나타났다. 이름은 마르코폴로(Marko Polo)라고 하며, 이미 전 세계 곳곳에 있는 컴퓨터 장비 수만 대를 감염시켰다. 그러면서 각종 데이터를 훔쳐내고 있다. 보안 업체 레코디드퓨처(Recorded Future)는 지난 수개월 동안 이들을 추적하며 30개 이상의 사기 캠페인을 이들이 진행하고 있음을 확인할 수 있었다고 한다. 즉 한 거대 캠페인에 최소 30개의 하위 캠페인이 포함되어 있었던 것이다.
[이미지 = Gettyimagesbank]
“마르코폴로는 주로 게이머, 암호화폐 분야의 인플루언서, 소프트웨어 개발자 등 기술 분야에 익숙한 사람들을 주로 노리고 있습니다. 이런 사람들로부터 여러 정보를 훔치기 위해 인포스틸러, 즉 정보 탈취형 멀웨어를 유포하고 있는데 현재까지 아모스(AMOS), 스틸씨(Stealc), 라다만티스(Rhandamanthys), 하이잭로더(HijackLoader) 등이 발견됐습니다. 침투와 감염을 위한 기법에서부터 사용하는 도구들까지 다변화되어 있는 공격이기 때문에 깊이 있는 방어 체계가 필요한 상황입니다.” 레코디드퓨처의 설명이다.
마르코폴로란 무엇인가?
레코디드퓨처에 의하면 마르코폴로는 한 마디로 “고도로 발전된, 기민하고 적응력 뛰어난 사이버 범죄 조직”이라고 한다. “이들은 사기 공격을 하기 위한 정교한 네트워크를 구축하여 이미 전 세계 곳곳에서 피해를 일으키고 있습니다. 자신들의 이러한 네트워크를 통해 온라인 게임과 생산성 소프트웨어, 암호화폐 관련 서비스를 사칭하는 방식으로 공격을 실시하는 중입니다.”
레코디드퓨처가 그 동안 이들을 추적하며 발견한 것은 다음과 같다.
1) 30개 이상의 사기 수법
2) 50개 이상의 고유 악성 코드 및 페이로드
3) 수십 개의 악성 도메인
4) 수백 개의 가짜 소셜미디어 계정
이 숫자는 지금 이 순간에도 빠르게 늘어나고 있다고 하며, 피해는 계속해서 커져가는 상황이라고 레코디드퓨처는 경고하고 있다.
아직 피해 규모는 집계가 되지 않았다. 하지만 공격에 사용되는 것들이 위에 열거한 것처럼 대단히 많기 때문에 이미 이들이 퍼트린 멀웨어에 감염된 장비들이 족히 수만 대는 될 것으로 레코디드퓨처는 보고 있다. “그렇다는 건 수십만~수백만 명의 민감 데이터가 도난당했다는 뜻이 됩니다. 소비자 개개인의 프라이버시는 물론 기업들의 비즈니스 연속성에도 악영향을 미칠 만한 준비가 되어 있다는 뜻입니다. 아마 이미 수백만 달러 이상의 불법 수익을 창출하고 있지 않을까 합니다.”
흥미롭게도 마르코폴로의 주요 표적은 IT 기술에 능숙한 사람들, 즉 일반인보다 정보 보안이라는 측면에서 더 예민할 것만 같은 사람들이라고 레코디드퓨처는 지적한다. “온라인 게이머, 소프트웨어 개발자, 암호화폐 전문가 등이 주요 표적이니까요. 그만큼 공격자들은 이런 부류의 사람들도 속일 수 있을 거라고 자신하고 있다고 볼 수 있습니다. IT 분야의 종사자들이라고 하더라도 실제 생활하는 면에 있어서 보안 정신이 투철하게 발휘되지 않는다는 걸 알고 있는 것일 수도 있고요.”
말 그대로 ‘전 세계’를 위협하는 마르코폴로
현재 마르코폴로가 저지른 사기 캠페인은 30개 이상이다. 대다수가 소셜미디어를 통해 이뤄진 것으로, 소셜 엔지니어링 공격에 매우 능숙하다는 걸 알 수 있다. 또한 이들은 자신들이 악의적으로 손을 본 가짜 줌(Zoom) 빌드나 소프트웨어 크랙, 악성 토렌트 다운로드 링크 파일 등 무기로 활용할 만한 도구를 20개 이상 보유하고 있으며, 이를 여러 캠페인에서 고루 사용하는 중이라고 한다. “여러 가지 공격 기법을 동원할 줄 아는 유연한 그룹입니다. 그래서 더 위협적이죠. 한 가지 수법이 막히면 금방 다른 것으로 전환할 수 있으니까요.”
암호화폐 사용자나 전문가들을 대상으로 하는 스피어피싱도 여러 차례 발견되고 있다. “소셜미디어를 통해 이런 사람들에게 접근한 후 금전적 피해를 일으키고 있습니다. 디지털 금융 분야, 특히 암호화폐 분야를 건드려 높은 가치를 창출하는 것이 이들의 주요 목표 중 하나라는 걸 알 수 있습니다. 또한 정보 탈취형 멀웨어를 심어놓고 장기적으로 정보를 빼돌리기도 하는데, 그렇다는 건 이들이 장기적 작전까지도 염두에 두고 지금 공격을 실시한다는 걸 보여줍니다. 세계 여러 조직들에 장기적 피해가 있을 것으로 예상됩니다.”
일부 사례들
2024년 6월 소셜미디어에서 파티월드(PartyWorld)라는 게임이 잠시 유행한 적이 있었는데, 레코디드퓨처네 의하면 이것이 마르코폴로의 대표적인 사기 사건이라고 한다. “암호화폐 사기 공격이나 정보 탈취형 멀웨어 설치로 이어지는 캠페인이었습니다. 마르코폴로는 가짜 소셜미디어 계정을 대량으로 만들거나 구매하여 이 게임을 홍보하고 퍼트렸습니다. 비슷하게는 파티로얄(Party Royale)이라는 게임도 이런 식으로 악용한 적이 있습니다.”
이런 홍보나 설치 유도에 속아 파티월드 웹사이트(이 역시 악성 웹사이트였다)에 접속할 경우 윈도 사용자는 드롭박스를 통해 한 실행파일이 다운로드 되도록 마르코폴로는 일을을꾸몄다. 맥OS 사용자라면 맥OS 상에서 실행되는 파일이 다운로드 되도록 만들었다. “하지만 이 파일을 받아 설치할 경우 실제로 시스템에 설치되는 건 윈도의 경우 하이잭로더, 스틸씨, 라다만티스이고 맥OS의 경우 아모스입니다. 전부 정보를 탈취하기 위한 멀웨어들이죠.”
보리온(Vorion)이라는 소프트웨어를 가지고 암호화폐 전문가들을 낚았던 사례도 있었다. “가상 회의 소프트웨어 중에 보택스(Vortax)라는 게 있습니다. 거기서 새롭게 파생된 브랜드라며 마르코폴로가 보리온을 홍보하고 퍼트리기 시작했습니다. 2024년 중반쯤에 진행된 캠페인인데, 주로 피해자들에게 구직을 미끼로 삼아 접근한 후 면접을 위해 보리온을 설치하도록 유도하는 식이었습니다. 암호화폐 전문가들은 스카웃 제의를 받은 것으로 착각해 이 소프트웨어를 설치했지만, 사실은 인포스틸러였던 것입니다.”
비슷한 것으로 브이덱(VDeck) 사기 캠페인이 있다. 브이덱 역시 가상 회의를 위한 소프트웨어로, 마르코폴로는 위의 보리온과 유사한 방식으로 피해자들에게 접근해 브이덱을 다운로드 받도록 유도했다. “이들은 계속해서 가상 회의를 위한 앱을 리브랜딩하거나 사칭해서 피해자들을 공략할 거라고 봅니다. 구인과 구직 관련 제안이 들어왔을 때 보다 더 철저히 확인해야 할 필요가 있습니다.”
눈에 띄는 것으로는 ‘룬 온라인(Rune Online)’이라는 가짜 게임으로 피해자들을 양산하는 수법이 있다. “룬 온라인은 웹 기반 MMORPG 게임으로 소개되고 있습니다. 이미 인기가 입증된 과거 명작인 룬스케이프(RuneScape)와 라이즈 온라인 월드(Rise Online World)가 합쳐진 게임이라고 광고하고 있지요. 마르코폴로는 이 게임과 관련된 소셜미디어 활동을 왕성하게 하고 있기도 합니다. 링크드인, 엑스, 인스타그램, 디스코드 등 여러 계정으로 온라인 활동이 이어지고 있는데, 그러니 사람들이 가짜라고 생각하기 힘듭니다.”
여기에 속아 룬 온라인 웹사이트에 접속하면 윈도와 맥OS에 맞는 클라이언트를 다운로드 하라는 안내가 나온다. 여러 온라인 게임들도 이런 식으로 시작한다. “하지만 윈도 버전 클라이언트를 다운로드 하면 스틸씨가 설치되고 맥OS 버전을 다운로드 하면 아모스가 설치됩니다. 이들은 피해자 시스템 뒷단에서 조용히 정보를 빼돌립니다. 게임은 전혀 돌아가지 않고요.”
그 외에 이들이 사칭하는 것들은 다음과 같다.
1) 와스퍼(Wasper) : AI 기반 협업 소프트웨어로 광고되고 있다.
2) 스펙트라룸(SpectraRoom)과 룸(Room) : 오픈소스 암호 통신 애플리케이션으로 광고되고 있다.
3) 타이디미(TidyMe)와 섭미(SupMe) : 글로벌 디지털 경제 플랫폼으로 광고되고 있다.
4) 줌 회의 클라이언트 사칭 : 최소 6개 도메인이 발견되었다.
어떻게 대응해야 하는가
레코디드퓨처의 경우 다음과 같은 대응책을 제시하고 있다.
1) 엔드포인트 보안 강화 : 인포스틸러 등 멀웨어가 설치되는 것을 최대한 방지한다.
2) 웹 필터링 및 모니터링 : 악성 도메인이나 다운로드 출처를 기술적으로 차단할 수 있어야 한다. 특히 크래킹 된 소프트웨어가 다운로드 되지는 않는지 확인한다.
3) 망 분리 : 망을 세부적으로 분리하여 악성코드나 위협들이 마구 퍼지지 않도록 한다.
4) 행동 패턴 분석 : 비정상 행위가 나타날 때 경보가 울리게 한다.
5) 위협 모니터링 : 마르코폴로는 지금도 변화하는 중이다. 따라서 침해지표가 자주 변경되는데, 이런 소식들을 부지런히 업데이트 하는 게 중요하다.
6) 사용자 교육 : 마르코폴로의 수법들을 사용자들에게 알려서 위험을 최소화 하는 게 효과적이다.
7) 사건 대응 계획 : 마르코폴로의 인포스틸러에 감염되었을 때의 상황을 상정해 대응책을 시나리오별로 마련한다.
3줄 요약
1. 정보 탈취 멀웨어 유행한다 싶더니, 전 세계적으로 퍼트리는 조직이 나타남.
2. 이들은 30개 캠페인을 한꺼번에 벌이고, 다양한 멀웨어를 유포하고 있음.
3. 광범위한 공격을 이어가고 있기 때문에 피해 상황을 집계하기도 어려울 정도.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
