.jpg)
크리덴셜 훔치는 대규모 캠페인 진행 중...세파 활용되고 있어
세파 멀웨어, 사실은 여러 개 정상 툴 남용하도록 만들어져
[보안뉴스 문가용 기자] 지난 몇 주 동안 크리덴셜을 훔치는 멀웨어인 세파(Separ)를 퍼트렸던 피싱 캠페인이 발견됐다. 이 공격으로 사기업 조직들 수백 곳이 피해를 입은 것으로 밝혀졌다. 사건은 대부분 동남아시아와 중동의 조직들 사이에서 벌어졌다.
[이미지 = iclickart]
세파 멀웨어는 시스템을 감염시킨 후 매일 데이터를 훔쳐 공격자의 서버로 업로드시킨다는 특징을 가지고 있다. 이를 찾아낸 보안 업체 딥 인스팅트(Deep Instinct)의 연구원 가이 프로퍼(Guy Propper)는 블로그 포스트를 통해 세파 멀웨어에 대해 알리며, “일부 북미 조직들도 피해를 입기 시작했다”고 밝혔다.
이 캠페인에서 피해자들은 주로 가짜 PDF 문서가 첨부된 피싱 이메일을 받는다. 이 PDF 파일은 사실 PDF 문서가 아니라 스스로 압축을 해제하는 아카이브로, 세파 페이로드를 실행시키는 데에 필요한 여러 개의 파일을 포함하고 있다.
프로퍼에 따르면 이 아카이브 안에는 다음과 같은 것들이 들어있다.
1) VB스크립트
2) 2개의 패치 스크립트
3) 4개의 실행파일
피싱 이메일 자체는 전형적이라, 가격이나 명세표, 배송 안내, 장비 사양 등의 정보를 담고 있는 것처럼 작성되어 있다. 해외 무역을 자주하거나 외국 시장에서 물건을 자주 사는 사람들이라면 속을 수 있다. 이에 메일을 열고 PDF 파일을 다운로드 받으면 시스템에서 아카이브가 저절로 해제된다.
해제 후 제일 먼저 VB스크립트가 작동하기 시작한다. 이 VB스크립트의 기능은 첫 번째 배치 스크립트를 호출하는 것으로, 발동하기 시작한 배치 스크립트는 디렉토리들을 생성하고 특정 파일들을 그 디렉토리들 안에 저장한다. 그런 후에 두 번째 배치 스크립트를 실행시킨다.
두 번째 배치 스크립트는 다양한 악성 행위들을 실시하는데, 그 중 가장 중요한 건 정상적인 이메일 및 브라우저 비밀번호 덤핑 툴을 실행한다는 것이다. 이는 시큐리티엑스플로디드(SecurityXploded)에서 만든 것으로, 공격자들은 이 툴을 남용해 사용자의 크리덴셜을 훔쳐낸다. 그 다음 세파는 정상적은 FTP 클라이언트인 ancp.exe를 실행해 훔쳐낸 정보를 정상 FTP 호스팅 서비스인 freehostia.com으로 업로드한다.
ancp.exe외에 최초 아카이브에 포함되어 있는 실행파일은 1) xcopy.exe, 2) attrib.exe, 3) sleep.exe다. 각각 악의적인 공격을 하는 데에 활용된다.
프로퍼는 “세파 캠페인은 현재 공격자들 사이에서 유행하고 있는 ‘자급자족식 공격(Living off the Land)’ 기법을 보여주는 한 사례”라고 설명한다. “악성 스크립트를 사용한 것 외에는 정상적인 툴들을 사용하죠. 피해자 시스템에 이미 탑재된 기능을 남용하는 부분도 있고요. 이렇게 정상적인 툴들을 공격에 사용하면 탐지가 정말 까다로워집니다. 그게 ‘자급자족식 공격’의 장점입니다.”
프로퍼는 공격자들이 사용하고 있는 FTP 서버에 몇 차례 접근했다고 한다. “갈 때마다 피해자들이 늘어나고 있다는 걸 눈으로 확인할 수 있었습니다. 공격이 아직도 실시간으로 진행되고 있다는 것이고, 성공률이 낮지 않다는 겁니다.” 또한 프로퍼는 “공격자들이 주로 노리는 정보는 ipconfig 명령을 실행했을 때의 결과와 이메일 및 브라우저용 비밀번호”라고 경고하기도 했다.
3줄 요약
1. 새로운 대규모 크리덴셜 탈취 캠페인 발견됨. 여기에 사용되는 멀웨어는 세파.
2. PDF 같이 보이는 아카이브 파일로 최초 공격 시작. 공격이 진행되는 과정 중에 사용되는 건 대부분 정상 툴들.
3. 공격자의 FTP 서버 들어가 보니 공격은 여전히 진행 중이고 성공률도 낮지 않음.
[국제부 문가용 기자(globoan@boannews.com)]
세파 멀웨어, 사실은 여러 개 정상 툴 남용하도록 만들어져
[보안뉴스 문가용 기자] 지난 몇 주 동안 크리덴셜을 훔치는 멀웨어인 세파(Separ)를 퍼트렸던 피싱 캠페인이 발견됐다. 이 공격으로 사기업 조직들 수백 곳이 피해를 입은 것으로 밝혀졌다. 사건은 대부분 동남아시아와 중동의 조직들 사이에서 벌어졌다.
[이미지 = iclickart]
세파 멀웨어는 시스템을 감염시킨 후 매일 데이터를 훔쳐 공격자의 서버로 업로드시킨다는 특징을 가지고 있다. 이를 찾아낸 보안 업체 딥 인스팅트(Deep Instinct)의 연구원 가이 프로퍼(Guy Propper)는 블로그 포스트를 통해 세파 멀웨어에 대해 알리며, “일부 북미 조직들도 피해를 입기 시작했다”고 밝혔다.
이 캠페인에서 피해자들은 주로 가짜 PDF 문서가 첨부된 피싱 이메일을 받는다. 이 PDF 파일은 사실 PDF 문서가 아니라 스스로 압축을 해제하는 아카이브로, 세파 페이로드를 실행시키는 데에 필요한 여러 개의 파일을 포함하고 있다.
프로퍼에 따르면 이 아카이브 안에는 다음과 같은 것들이 들어있다.
1) VB스크립트
2) 2개의 패치 스크립트
3) 4개의 실행파일
피싱 이메일 자체는 전형적이라, 가격이나 명세표, 배송 안내, 장비 사양 등의 정보를 담고 있는 것처럼 작성되어 있다. 해외 무역을 자주하거나 외국 시장에서 물건을 자주 사는 사람들이라면 속을 수 있다. 이에 메일을 열고 PDF 파일을 다운로드 받으면 시스템에서 아카이브가 저절로 해제된다.
해제 후 제일 먼저 VB스크립트가 작동하기 시작한다. 이 VB스크립트의 기능은 첫 번째 배치 스크립트를 호출하는 것으로, 발동하기 시작한 배치 스크립트는 디렉토리들을 생성하고 특정 파일들을 그 디렉토리들 안에 저장한다. 그런 후에 두 번째 배치 스크립트를 실행시킨다.
두 번째 배치 스크립트는 다양한 악성 행위들을 실시하는데, 그 중 가장 중요한 건 정상적인 이메일 및 브라우저 비밀번호 덤핑 툴을 실행한다는 것이다. 이는 시큐리티엑스플로디드(SecurityXploded)에서 만든 것으로, 공격자들은 이 툴을 남용해 사용자의 크리덴셜을 훔쳐낸다. 그 다음 세파는 정상적은 FTP 클라이언트인 ancp.exe를 실행해 훔쳐낸 정보를 정상 FTP 호스팅 서비스인 freehostia.com으로 업로드한다.
ancp.exe외에 최초 아카이브에 포함되어 있는 실행파일은 1) xcopy.exe, 2) attrib.exe, 3) sleep.exe다. 각각 악의적인 공격을 하는 데에 활용된다.
프로퍼는 “세파 캠페인은 현재 공격자들 사이에서 유행하고 있는 ‘자급자족식 공격(Living off the Land)’ 기법을 보여주는 한 사례”라고 설명한다. “악성 스크립트를 사용한 것 외에는 정상적인 툴들을 사용하죠. 피해자 시스템에 이미 탑재된 기능을 남용하는 부분도 있고요. 이렇게 정상적인 툴들을 공격에 사용하면 탐지가 정말 까다로워집니다. 그게 ‘자급자족식 공격’의 장점입니다.”
프로퍼는 공격자들이 사용하고 있는 FTP 서버에 몇 차례 접근했다고 한다. “갈 때마다 피해자들이 늘어나고 있다는 걸 눈으로 확인할 수 있었습니다. 공격이 아직도 실시간으로 진행되고 있다는 것이고, 성공률이 낮지 않다는 겁니다.” 또한 프로퍼는 “공격자들이 주로 노리는 정보는 ipconfig 명령을 실행했을 때의 결과와 이메일 및 브라우저용 비밀번호”라고 경고하기도 했다.
3줄 요약
1. 새로운 대규모 크리덴셜 탈취 캠페인 발견됨. 여기에 사용되는 멀웨어는 세파.
2. PDF 같이 보이는 아카이브 파일로 최초 공격 시작. 공격이 진행되는 과정 중에 사용되는 건 대부분 정상 툴들.
3. 공격자의 FTP 서버 들어가 보니 공격은 여전히 진행 중이고 성공률도 낮지 않음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)