네커스 통한 드리덱스 배포 공격 다시 시작, 이번엔 FTP 서버 사용
공격자들의 끊임없는 진화 눈에 띄어...메일 양 아직 크게 많지는 않아
[보안뉴스 문가용 기자] 최근 FTP 서버를 침해한 이메일 공격 캠페인이 발견되었다. 이 공격으로 드리덱스(Dridex)라는 뱅킹 트로이목마가 빠르게 퍼지고 있다고 보안 업체 포스포인트(Forcepoint)가 경고했다.
[이미지 = iclickart]
드리덱스는 지난 수년 간 금융가를 노려온 멀웨어들 중 단연 가장 많이 사용되는 것이라고 볼 수 있다. 물론 여러 차례 수정과 업데이트를 거쳐 왔기 때문에 계속해서 사용될 수 있는 것이다. 하지만 그런 지속적인 변화에도 변하지 않는 본질이 있으니, 드리덱스의 기본 목적은 사용자의 뱅킹 관련 크리덴셜을 훔쳐내는 것이라는 점이다.
최근 드리덱스가 다시 퍼지고 있다는 것이 발견된 건 1월 17일의 일이다. “.com 최상위 도메인(Top Level Domain)으로 메일이 대거 발송되고 있었습니다. 이 최상위 도메인들을 분석해보니 주로 프랑스, 영국, 호주가 공격을 받고 있었습니다.”
그렇다면 이 이메일들은 어디서부터 발송되는 것일까? “침해된 계정들로부터 나갑니다. 많은 계정을 침해하고, 이를 돌려가며 이메일들을 발송하는 것이죠. 한 주소로만 이메일이 대량으로 나가면 누가 봐도 수상하니까요.”
이메일에는 크게 두 가지 유형의 악성 파일이 첨부되어 있었다. 하나는 MS 워드 문서로 ‘독적 데이터 교환(DDE)’ 기능을 어뷰징하는 것이고, 다른 하나는 XLS 파일로 드리덱스의 다운로드를 촉발시키는 매크로를 탑재하고 있었다. 다운로드 되는 드리덱스 페이로드는 FTP 서버에 저장된 것으로 분석됐다.
“침해된 서버들을 보면 같은 FTP 소프트웨어를 사용하고 있지 않았습니다. 즉 특정 소프트웨어 취약점이 침해의 시작점이 된 거 같진 않습니다. 아무래도 공격 과정 중에 로그인 크리덴셜이 탈취된 것이 의심됩니다.”
또 하나 재미있는 건 공격자들이, 자신들이 보유하고 있는 침해 사이트의 크리덴셜을 애써 숨기려하지 않는다는 것이다. 즉, 다른 공격자들이 덩달아 이 크리덴셜들을 가져다가 더 써도 괜찮도록 내버려둔 것. “아마도 보유하고 있는 크리덴셜이 굉장히 많은 것으로 보입니다. 그러니 서버 크리덴셜 같은 걸 1회용품처럼 써버리고 있는 것이죠.”
이번 캠페인을 통해 배포되는 악성 이메일 자체는 네커스(Necurs) 봇넷을 통해 전파되고 있는 것으로 보인다. 네커스 봇넷은 스팸 이메일용 봇넷으로는 최대 규모인 것으로 파악된다. “공격에 사용되고 있는 도메인이 네커스 봇넷과 관련성을 가지고 있으며, 악성 문서나 다운로더들도 과거 네커스 봇넷을 통한 공격에서 발견된 것들입니다. 게다가 네커스와 드리덱스의 상관성은 널리 알려진 것이죠.”
하지만 기존 네커스의 활동과 달리 이번에 발견된 스팸 메일의 양은 상당히 적은 편이라고 한다. “보통 수백만 건의 스팸 메일이 발송되는데, 이번에는 1만 건도 되지 않습니다. 악성 페이로드가 다운로드 되는 것이 FTP 서버라는 것도 네커스 관련 공격에서는 처음 보는 경우이고요.”
기존 네커스 공격과의 차이점은 “공격자들의 끊임없는 진화”를 드러낸다. “항상 최대의 공격 성공률을 유지시키기 위해 공격자들은 자신들의 무기와 전략을 업데이트 합니다. 늘 성공하는 건 아니지만 여러 시행착오를 거치기도 하죠. 이번 FTP 서버 활용도 그런 맥락에서 볼 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
공격자들의 끊임없는 진화 눈에 띄어...메일 양 아직 크게 많지는 않아
[보안뉴스 문가용 기자] 최근 FTP 서버를 침해한 이메일 공격 캠페인이 발견되었다. 이 공격으로 드리덱스(Dridex)라는 뱅킹 트로이목마가 빠르게 퍼지고 있다고 보안 업체 포스포인트(Forcepoint)가 경고했다.
[이미지 = iclickart]
드리덱스는 지난 수년 간 금융가를 노려온 멀웨어들 중 단연 가장 많이 사용되는 것이라고 볼 수 있다. 물론 여러 차례 수정과 업데이트를 거쳐 왔기 때문에 계속해서 사용될 수 있는 것이다. 하지만 그런 지속적인 변화에도 변하지 않는 본질이 있으니, 드리덱스의 기본 목적은 사용자의 뱅킹 관련 크리덴셜을 훔쳐내는 것이라는 점이다.
최근 드리덱스가 다시 퍼지고 있다는 것이 발견된 건 1월 17일의 일이다. “.com 최상위 도메인(Top Level Domain)으로 메일이 대거 발송되고 있었습니다. 이 최상위 도메인들을 분석해보니 주로 프랑스, 영국, 호주가 공격을 받고 있었습니다.”
그렇다면 이 이메일들은 어디서부터 발송되는 것일까? “침해된 계정들로부터 나갑니다. 많은 계정을 침해하고, 이를 돌려가며 이메일들을 발송하는 것이죠. 한 주소로만 이메일이 대량으로 나가면 누가 봐도 수상하니까요.”
이메일에는 크게 두 가지 유형의 악성 파일이 첨부되어 있었다. 하나는 MS 워드 문서로 ‘독적 데이터 교환(DDE)’ 기능을 어뷰징하는 것이고, 다른 하나는 XLS 파일로 드리덱스의 다운로드를 촉발시키는 매크로를 탑재하고 있었다. 다운로드 되는 드리덱스 페이로드는 FTP 서버에 저장된 것으로 분석됐다.
“침해된 서버들을 보면 같은 FTP 소프트웨어를 사용하고 있지 않았습니다. 즉 특정 소프트웨어 취약점이 침해의 시작점이 된 거 같진 않습니다. 아무래도 공격 과정 중에 로그인 크리덴셜이 탈취된 것이 의심됩니다.”
또 하나 재미있는 건 공격자들이, 자신들이 보유하고 있는 침해 사이트의 크리덴셜을 애써 숨기려하지 않는다는 것이다. 즉, 다른 공격자들이 덩달아 이 크리덴셜들을 가져다가 더 써도 괜찮도록 내버려둔 것. “아마도 보유하고 있는 크리덴셜이 굉장히 많은 것으로 보입니다. 그러니 서버 크리덴셜 같은 걸 1회용품처럼 써버리고 있는 것이죠.”
이번 캠페인을 통해 배포되는 악성 이메일 자체는 네커스(Necurs) 봇넷을 통해 전파되고 있는 것으로 보인다. 네커스 봇넷은 스팸 이메일용 봇넷으로는 최대 규모인 것으로 파악된다. “공격에 사용되고 있는 도메인이 네커스 봇넷과 관련성을 가지고 있으며, 악성 문서나 다운로더들도 과거 네커스 봇넷을 통한 공격에서 발견된 것들입니다. 게다가 네커스와 드리덱스의 상관성은 널리 알려진 것이죠.”
하지만 기존 네커스의 활동과 달리 이번에 발견된 스팸 메일의 양은 상당히 적은 편이라고 한다. “보통 수백만 건의 스팸 메일이 발송되는데, 이번에는 1만 건도 되지 않습니다. 악성 페이로드가 다운로드 되는 것이 FTP 서버라는 것도 네커스 관련 공격에서는 처음 보는 경우이고요.”
기존 네커스 공격과의 차이점은 “공격자들의 끊임없는 진화”를 드러낸다. “항상 최대의 공격 성공률을 유지시키기 위해 공격자들은 자신들의 무기와 전략을 업데이트 합니다. 늘 성공하는 건 아니지만 여러 시행착오를 거치기도 하죠. 이번 FTP 서버 활용도 그런 맥락에서 볼 수 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
