.gif)
구글 서비스를 자신들의 멀웨어 C&C서버로 사용
[보안뉴스 홍나경 기자] 지난 2015년 금융 기관들을 해킹하고 재정적 피해를 입힌 악명 높은 해커 집단 카바낙(Carbanak)이 새로운 전략을 가지고 돌아왔다. 다름 아니라 구글이 합법적으로 제공하는 다양한 서비스를 자신들의 C&C서버처럼 사용하는 것이다.
보안 업체인 포스포인트(Forcepoint)는 트로이목마 공격을 하는 리치 텍스트 포맷(Rich Text Format, RTF) 문서들을 조사했다. 그 과정 중 암호화된 비주얼 베이직 스크립트를 발견했는데, 카바낙이 예전부터 사용해온 수법과 여러 모로 닮아있었다.
여기에 더해 포스포인트는 카바낙의 새로운 활동 내역을 상세하게 발표했다. 해당 내용에 따르면 카바낙은 현재 구글 앱스크립트, 구글 시트 등 구글이 자사 고객들에게 제공하는 각종 클라우드 서비스를 C&C 서버처럼 활용하고 있다고 한다.
“감염자가 한 명 생길 때마다 그 한 사람에 대한 구글 시트가 생성됩니다. 그렇게 해서 표적 관리가 좀 더 쉽게 되는 것이죠. 이렇게 유명한 서비스를 활용한 것은 모습을 쉽게 감출 수 있기 때문입니다. 구글에 대한 일반 사용자들의 신뢰도는 매우 높은 편이거든요.”
카바낙은 카스퍼스키 랩을 통해 처음 발견됐으며 동부 유럽 외곽에 기반을 두고 있는 국제적인 해커 집단이다. 이들은 스피어피싱 이메일을 통해 은행 직원들을 노리는 수법으로 2년 동안 30여개 국가의 은행 100곳을 공격하여 1조원 가량의 수익을 올린 것으로 알려졌다. 주로 러시아 재정 기관들을 노린 범죄를 저지르고 있으며 덴마크, 미국도 주요 피해국이다.
[국제부 홍나경 기자(hnk726@boannews.com)]
[보안뉴스 홍나경 기자] 지난 2015년 금융 기관들을 해킹하고 재정적 피해를 입힌 악명 높은 해커 집단 카바낙(Carbanak)이 새로운 전략을 가지고 돌아왔다. 다름 아니라 구글이 합법적으로 제공하는 다양한 서비스를 자신들의 C&C서버처럼 사용하는 것이다.
보안 업체인 포스포인트(Forcepoint)는 트로이목마 공격을 하는 리치 텍스트 포맷(Rich Text Format, RTF) 문서들을 조사했다. 그 과정 중 암호화된 비주얼 베이직 스크립트를 발견했는데, 카바낙이 예전부터 사용해온 수법과 여러 모로 닮아있었다.
여기에 더해 포스포인트는 카바낙의 새로운 활동 내역을 상세하게 발표했다. 해당 내용에 따르면 카바낙은 현재 구글 앱스크립트, 구글 시트 등 구글이 자사 고객들에게 제공하는 각종 클라우드 서비스를 C&C 서버처럼 활용하고 있다고 한다.
“감염자가 한 명 생길 때마다 그 한 사람에 대한 구글 시트가 생성됩니다. 그렇게 해서 표적 관리가 좀 더 쉽게 되는 것이죠. 이렇게 유명한 서비스를 활용한 것은 모습을 쉽게 감출 수 있기 때문입니다. 구글에 대한 일반 사용자들의 신뢰도는 매우 높은 편이거든요.”
카바낙은 카스퍼스키 랩을 통해 처음 발견됐으며 동부 유럽 외곽에 기반을 두고 있는 국제적인 해커 집단이다. 이들은 스피어피싱 이메일을 통해 은행 직원들을 노리는 수법으로 2년 동안 30여개 국가의 은행 100곳을 공격하여 1조원 가량의 수익을 올린 것으로 알려졌다. 주로 러시아 재정 기관들을 노린 범죄를 저지르고 있으며 덴마크, 미국도 주요 피해국이다.
[국제부 홍나경 기자(hnk726@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)