랜섬웨어 등 사이버 범죄자들, Angler 익스플로잇 키트 적극 활용
[보안뉴스 김태형] 지난 6월 초, 카스퍼스키랩은 사법기관과의 공조 수사 끝에 러시아 기업 및 은행에서 4천 5백만 달러 이상을 훔친 혐의를 받고 있는 사이버 범죄 조직인 Lurk의 용의자들을 다수 검거했다고 밝혔다.
▲ 추가 모듈 다운로드를 위해 숨어 있는 Lurk 코드의 일부(출처 : Securlist.com)
해당 검거작전은 최근 몇 년 간 진행된 사이버 범죄 수사 중 최대 규모였다. 그러나 이 사건은 Lurk 조직에서 관여한 사이버 범죄의 일부에 지나지 않는다. Lurk의 악성코드에 숨겨져 있는 IT 인프라를 분석한 결과, 코드 운영자들이 익스플로잇 키트를 개발해 다른 사이버 범죄자들에게도 대여한 것으로 밝혀졌다.
이 Angler 익스플로잇 키트는 악성 프로그램의 집합으로, 널리 사용되는 소프트웨어의 취약점을 파고들어 PC에 악성코드를 몰래 설치한다. Angler 익스플로잇 키트는 지난 수년간 지하 시장에서 해커들에게 제공되어 온 가장 강력한 도구 중 하나로 알려져 있다.
Angler 활동이 처음 발견된 때는 키트가 범죄 시장에 공개된 2013년 말로 거슬러 올라간다. 이후 이 키트는 애드웨어부터 뱅킹 악성코드 및 랜섬웨어에 이르기까지 다양한 종류의 악성 코드 유포와 관련된 여러 사이버 범죄 집단에서 사용되었다.
특히, 온라인에서 가장 발생 빈도가 높고 가장 위험한 랜섬웨어 위협 중 하나인 ‘CryptXXX’ 랜섬웨어와 ‘TeslaCrypt’ 등의 배후에 있는 집단이 이 익스플로잇 키트를 적극적으로 활용한 것으로 드러났다.
또 Angler는 거의 100개에 달하는 다양한 은행을 공격하도록 설계된 Neverquest 뱅킹 트로이목마를 유포하는 데도 사용되었다. Angler의 활동은 Lurk 조직이 구속된 후 바로 중단되었다.
카스퍼스키랩 보안 전문가들이 조사한 바에 따르면, Angler 익스플로잇 키트는 처음에는 Lurk 내부 전용으로 개발된 것으로 밝혀졌다. 뱅킹 악성 코드를 목표 PC에 좀 더 용이하게 유포할 수 있도록 안정적이고 효율적인 전달 채널을 제공하는 것이 원래 목적이었다.
Lurk 조직은 매우 폐쇄적인 집단이었기 때문에 다른 조직처럼 아웃소싱을 이용하지 않고 자체적으로 중요 인프라를 통제하는 방침을 고수하고 있었다. 그러나 2013년 상황이 변하면서 대가를 지불하면 누구나 이 키트를 이용할 수 있도록 공개했다.
이에 대해 카스퍼스키랩코리아 이창훈 지사장(www.kaspersky.co.kr)은 “Lurk 조직이 Angler를 공개한 이유는 현금 조달을 위해 어쩔 수 없이 내린 결정이었던 것으로 보고 있다. Angler를 공개했던 당시 Lurk 조직은 원격 뱅킹 시스템 소프트웨어 개발 업체의 보안조치로 인해 주요 ‘수입원’인 사이버 절도 수익이 감소하고 있었다”면서 “이 때문에 범죄 활동 자체가 어려워진 반면 여전히 보유하고 있는 네트워크 인프라 및 조직원의 규모가 컸기 때문에 이를 유지하기 위한 비용이 지속적으로 필요한 상황이었다”고 말했다.
그는 “이에 그들은 비즈니스를 확장하기로 결정했고 실제로 성과도 있었던 것으로 밝혀졌다. Lurk의 뱅킹 트로이목마와 Angler가 다른 점은 전자가 러시아 지역만 위험한 반면, 후자는 전 세계 사용자를 표적으로 한 여러 공격에 이용되었다는 점”이라고 덧붙였다.
Lurk의 부수입 창출원은 Angler 익스플로잇 키트의 개발과 지원뿐만이 아니었다. 원격 뱅킹 서비스 소프트웨어를 통해 자동으로 돈을 탈취하는 강력한 악성코드 개발에 집중했던 Lurk 조직은 5년이 넘는 시간 동안 조직의 비즈니스 방향을 수정해 은행 내부 인프라를 잘 아는 전문가를 해킹하고 SIM 카드를 바꿔치기하는 정교한 공격체계 개발에도 손을 뻗었다. 이 기간 동안 Lurk 조직에서 벌인 활동은 카스퍼스키랩 보안전문가들이 모니터링해 문서화했다.
한편, 카스퍼스키랩에서 조사한 지난 5년간의 Lurk 조직 활동에 대한 자세한 내용은 Securlist.com에서 확인할 수 있다.
[김태형 기자(boan@boannews.com)]
[보안뉴스 김태형] 지난 6월 초, 카스퍼스키랩은 사법기관과의 공조 수사 끝에 러시아 기업 및 은행에서 4천 5백만 달러 이상을 훔친 혐의를 받고 있는 사이버 범죄 조직인 Lurk의 용의자들을 다수 검거했다고 밝혔다.
▲ 추가 모듈 다운로드를 위해 숨어 있는 Lurk 코드의 일부(출처 : Securlist.com)
해당 검거작전은 최근 몇 년 간 진행된 사이버 범죄 수사 중 최대 규모였다. 그러나 이 사건은 Lurk 조직에서 관여한 사이버 범죄의 일부에 지나지 않는다. Lurk의 악성코드에 숨겨져 있는 IT 인프라를 분석한 결과, 코드 운영자들이 익스플로잇 키트를 개발해 다른 사이버 범죄자들에게도 대여한 것으로 밝혀졌다.
이 Angler 익스플로잇 키트는 악성 프로그램의 집합으로, 널리 사용되는 소프트웨어의 취약점을 파고들어 PC에 악성코드를 몰래 설치한다. Angler 익스플로잇 키트는 지난 수년간 지하 시장에서 해커들에게 제공되어 온 가장 강력한 도구 중 하나로 알려져 있다.
Angler 활동이 처음 발견된 때는 키트가 범죄 시장에 공개된 2013년 말로 거슬러 올라간다. 이후 이 키트는 애드웨어부터 뱅킹 악성코드 및 랜섬웨어에 이르기까지 다양한 종류의 악성 코드 유포와 관련된 여러 사이버 범죄 집단에서 사용되었다.
특히, 온라인에서 가장 발생 빈도가 높고 가장 위험한 랜섬웨어 위협 중 하나인 ‘CryptXXX’ 랜섬웨어와 ‘TeslaCrypt’ 등의 배후에 있는 집단이 이 익스플로잇 키트를 적극적으로 활용한 것으로 드러났다.
또 Angler는 거의 100개에 달하는 다양한 은행을 공격하도록 설계된 Neverquest 뱅킹 트로이목마를 유포하는 데도 사용되었다. Angler의 활동은 Lurk 조직이 구속된 후 바로 중단되었다.
카스퍼스키랩 보안 전문가들이 조사한 바에 따르면, Angler 익스플로잇 키트는 처음에는 Lurk 내부 전용으로 개발된 것으로 밝혀졌다. 뱅킹 악성 코드를 목표 PC에 좀 더 용이하게 유포할 수 있도록 안정적이고 효율적인 전달 채널을 제공하는 것이 원래 목적이었다.
Lurk 조직은 매우 폐쇄적인 집단이었기 때문에 다른 조직처럼 아웃소싱을 이용하지 않고 자체적으로 중요 인프라를 통제하는 방침을 고수하고 있었다. 그러나 2013년 상황이 변하면서 대가를 지불하면 누구나 이 키트를 이용할 수 있도록 공개했다.
이에 대해 카스퍼스키랩코리아 이창훈 지사장(www.kaspersky.co.kr)은 “Lurk 조직이 Angler를 공개한 이유는 현금 조달을 위해 어쩔 수 없이 내린 결정이었던 것으로 보고 있다. Angler를 공개했던 당시 Lurk 조직은 원격 뱅킹 시스템 소프트웨어 개발 업체의 보안조치로 인해 주요 ‘수입원’인 사이버 절도 수익이 감소하고 있었다”면서 “이 때문에 범죄 활동 자체가 어려워진 반면 여전히 보유하고 있는 네트워크 인프라 및 조직원의 규모가 컸기 때문에 이를 유지하기 위한 비용이 지속적으로 필요한 상황이었다”고 말했다.
그는 “이에 그들은 비즈니스를 확장하기로 결정했고 실제로 성과도 있었던 것으로 밝혀졌다. Lurk의 뱅킹 트로이목마와 Angler가 다른 점은 전자가 러시아 지역만 위험한 반면, 후자는 전 세계 사용자를 표적으로 한 여러 공격에 이용되었다는 점”이라고 덧붙였다.
Lurk의 부수입 창출원은 Angler 익스플로잇 키트의 개발과 지원뿐만이 아니었다. 원격 뱅킹 서비스 소프트웨어를 통해 자동으로 돈을 탈취하는 강력한 악성코드 개발에 집중했던 Lurk 조직은 5년이 넘는 시간 동안 조직의 비즈니스 방향을 수정해 은행 내부 인프라를 잘 아는 전문가를 해킹하고 SIM 카드를 바꿔치기하는 정교한 공격체계 개발에도 손을 뻗었다. 이 기간 동안 Lurk 조직에서 벌인 활동은 카스퍼스키랩 보안전문가들이 모니터링해 문서화했다.
한편, 카스퍼스키랩에서 조사한 지난 5년간의 Lurk 조직 활동에 대한 자세한 내용은 Securlist.com에서 확인할 수 있다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
