.jpg)
효율적인 배포 위해서인지 미국 내 서버에 여러 멀웨어 호스팅 해
10개 넘는 멀웨어 퍼트리고 있어...데이터가 저장되는 서버는 따로 분리
[보안뉴스 문가용 기자] 악명 높은 봇넷인 네커스(Necurs)의 배후 세력으로 보이는 자들이 새로운 유형의 멀웨어 공격을 실시했다고 보안 업체 브로미움(Bromium)이 발표했다. 브로미움에 따르면 이 공격자들은 아마존과 비슷한 방식으로 멀웨어를 호스팅 및 배포하고 있다고 한다.
[이미지 = iclickart]
공격자들은 10개가 넘는 미국 영토 내 서버들을 사용해 다른 공격자들이 다양한 랜섬웨어와 뱅킹 트로이목마 등을 퍼트리는 데 도움을 주고 있다. 아마존처럼 중간 유통업자 짓을 하고 있는 것이다.
호스팅 서버들의 IP 주소들은 한 개의 자동화 시스템에 소속되어 있다. 이 시스템은 미국 내에서 ‘방탄 호스팅 회사’라고 불리는 곳 하나에 등록되어 있는 것으로 나타났다. 공격자들이 이용하는 이 회사의 서버들은 총 11개로, 전부 네바다에 있는 데이터센터에 위치해 있는 것으로 확인됐다. 방탄 호스팅(bulletproof hosting) 회사는 ‘서버 내에 고객이 뭘 저장하든 묻지 않고 상관도 하지 않는’ 회사로, 이 점 때문에 범죄자들 사이에서 인기가 높다.
브로미움은 “보통 사이버 범죄자들을 멀웨어를 호스팅 할 때 사법 기관이 권한을 발휘할 수 없는 지역에 마련하는 것이 보통인데, 이 자들은 대범하게도 미국 내에서 이 같은 활동을 하고 있다는 건 꽤나 의미심장한 일”이라고 설명한다. “물론 그렇게 했을 때의 장점은 멀웨어 감염의 성공률이 높아진다는 겁니다. 해외 트래픽을 통한 다운로드나 설치를 막아둔 조직이 상당히 많거든요.”
브로미움은 약 1년 동안 이 공격자들의 활동을 추적해왔다. 그리고 현재까지 미국 내 호스팅 서비스를 통해 최소 5가지 뱅킹 트로이목마와 2가지 랜섬웨어, 3가지 정보 탈취 멀웨어를 배포해왔다는 걸 기록했다. “여기에는 드리덱스(Dridex), 갠드크랩(GandCrab), 뉴트리노(Neutrino) 등의 유명 멀웨어들도 포함되어 있습니다.”
여태까지 모인 자료들에 의하면 “단일 단체가 멀웨어를 호스팅고 있으며, 대규모 피싱 캠페인을 통해 각종 멀웨어를 배포”하는 중인 것으로 보인다. 게다가 이런 행위는 “다른 공격자들을 위한 대행 서비스 차원에서 실시”되는 것이 유력하다. “다양한 멀웨어를 같은 서버에 호스팅한다는 건 실제 행동하고 있는 단체가 하나라는 뜻일 가능성이 높습니다.”
게다가 호스팅에 사용되는 서버들 전부가 같은 디폴트 아파치 HTTP 서버 및 센트OS(CentOS) 소프트웨어 빌드들을 가지고 있다. 악성 파일들이 호스팅 된 곳도 늘 같은 루트 디렉토리라고 한다. “또한 해당 서버들이 정상적인 목적으로 활용되었다는 흔적이나 증거도 찾을 수 없었습니다. 오로지 멀웨어 배포를 위해서 따로 마련된 것처럼 말이죠.”
심지어 멀웨어 배포를 위해 사용하고 있는 피싱 이메일도, 어떤 멀웨어를 위한 공격이든지, 상당히 흡사하다. 이 역시 한 개의 그룹이 공격을 실시하고 있다는 증거라고 브로미움은 설명한다. “대부분의 메일이 악성 VBA 매크로가 포함된 워드 문서 형태를 취하고 있습니다. 매크로들 전부가 하드코딩 된 IP 주소들을 사용하고 있다는 것도 공통점입니다.”
결국 누군가 악성 행위자들을 집결시키는 ‘어둠의 아마존’과 같은 역할을 하고 있다는 것이 브로미움의 결론이다. “이 호스팅 인프라를 통제하고 있는 누군가가 현재 여러 위협 단체들의 목진지 역할을 하고 있는 중입니다. 고객의 뜻에 따라 멀웨어만을 달리하며 작전을 펼치고 있는 것이죠.”
또 하나 중요한 것은 멀웨어를 배포하는 호스팅 서버와 C&C 서버가 분리되어 있다는 것이다. “공격을 성공시킨 후 피해자로부터 오는 데이터는 다른 곳에 저장되고 있었습니다. 아마 공격을 신청하거나 의뢰한 자들에게로 배달되는 게 아닐까 합니다.”
이 어둠의 아마존은 누구일까? 브로미움은 “드리덱스가 호스팅 되어 있고, 네커스 봇넷의 배포 전략과 비슷한 점이 발견되는 것으로 보아 과거 네커스를 퍼트렸던 자들일 확률이 높은 것”으로 보고 있다. “2016년부터 시작된 드리덱스 캠페인은 네커스 봇넷을 타고 퍼졌습니다. 그러한 것이 발전해 오늘날과 같은 형태를 띄게 된 것으로 보입니다.”
브로미움은 이러한 발견에 대해 상세한 보고서를 작성하고 미국의 관련 기업들과 수사 기관에 제출했다. 하지만 문제의 호스팅 업체의 정확한 이름은 대중들에게 공개하지는 않고 있다. 브로미움은 “해당 업체는 대부분 정상적인 기업들에 서비스를 제공하고 있으며, 악의적인 활동으로 서버를 대여한 경우는 극히 일부”라고 설명하기도 했다.
3줄 요약
1. 보안 업체 브로미움, 어둠의 아마존 존재하는 걸 발견하고 각 기관과 업체에 알림.
2. 왜 어둠의 아마존? 공격자들을 대신해 중간에서 다양한 멀웨어를 배포하고 있기 때문.
3. 아직 누구인지 정확한 정체 알 수 없으나, 네커스 봇넷 공격자들과 관련 있어 보임.
[국제부 문가용 기자(globoan@boannews.com)]
10개 넘는 멀웨어 퍼트리고 있어...데이터가 저장되는 서버는 따로 분리
[보안뉴스 문가용 기자] 악명 높은 봇넷인 네커스(Necurs)의 배후 세력으로 보이는 자들이 새로운 유형의 멀웨어 공격을 실시했다고 보안 업체 브로미움(Bromium)이 발표했다. 브로미움에 따르면 이 공격자들은 아마존과 비슷한 방식으로 멀웨어를 호스팅 및 배포하고 있다고 한다.
[이미지 = iclickart]
공격자들은 10개가 넘는 미국 영토 내 서버들을 사용해 다른 공격자들이 다양한 랜섬웨어와 뱅킹 트로이목마 등을 퍼트리는 데 도움을 주고 있다. 아마존처럼 중간 유통업자 짓을 하고 있는 것이다.
호스팅 서버들의 IP 주소들은 한 개의 자동화 시스템에 소속되어 있다. 이 시스템은 미국 내에서 ‘방탄 호스팅 회사’라고 불리는 곳 하나에 등록되어 있는 것으로 나타났다. 공격자들이 이용하는 이 회사의 서버들은 총 11개로, 전부 네바다에 있는 데이터센터에 위치해 있는 것으로 확인됐다. 방탄 호스팅(bulletproof hosting) 회사는 ‘서버 내에 고객이 뭘 저장하든 묻지 않고 상관도 하지 않는’ 회사로, 이 점 때문에 범죄자들 사이에서 인기가 높다.
브로미움은 “보통 사이버 범죄자들을 멀웨어를 호스팅 할 때 사법 기관이 권한을 발휘할 수 없는 지역에 마련하는 것이 보통인데, 이 자들은 대범하게도 미국 내에서 이 같은 활동을 하고 있다는 건 꽤나 의미심장한 일”이라고 설명한다. “물론 그렇게 했을 때의 장점은 멀웨어 감염의 성공률이 높아진다는 겁니다. 해외 트래픽을 통한 다운로드나 설치를 막아둔 조직이 상당히 많거든요.”
브로미움은 약 1년 동안 이 공격자들의 활동을 추적해왔다. 그리고 현재까지 미국 내 호스팅 서비스를 통해 최소 5가지 뱅킹 트로이목마와 2가지 랜섬웨어, 3가지 정보 탈취 멀웨어를 배포해왔다는 걸 기록했다. “여기에는 드리덱스(Dridex), 갠드크랩(GandCrab), 뉴트리노(Neutrino) 등의 유명 멀웨어들도 포함되어 있습니다.”
여태까지 모인 자료들에 의하면 “단일 단체가 멀웨어를 호스팅고 있으며, 대규모 피싱 캠페인을 통해 각종 멀웨어를 배포”하는 중인 것으로 보인다. 게다가 이런 행위는 “다른 공격자들을 위한 대행 서비스 차원에서 실시”되는 것이 유력하다. “다양한 멀웨어를 같은 서버에 호스팅한다는 건 실제 행동하고 있는 단체가 하나라는 뜻일 가능성이 높습니다.”
게다가 호스팅에 사용되는 서버들 전부가 같은 디폴트 아파치 HTTP 서버 및 센트OS(CentOS) 소프트웨어 빌드들을 가지고 있다. 악성 파일들이 호스팅 된 곳도 늘 같은 루트 디렉토리라고 한다. “또한 해당 서버들이 정상적인 목적으로 활용되었다는 흔적이나 증거도 찾을 수 없었습니다. 오로지 멀웨어 배포를 위해서 따로 마련된 것처럼 말이죠.”
심지어 멀웨어 배포를 위해 사용하고 있는 피싱 이메일도, 어떤 멀웨어를 위한 공격이든지, 상당히 흡사하다. 이 역시 한 개의 그룹이 공격을 실시하고 있다는 증거라고 브로미움은 설명한다. “대부분의 메일이 악성 VBA 매크로가 포함된 워드 문서 형태를 취하고 있습니다. 매크로들 전부가 하드코딩 된 IP 주소들을 사용하고 있다는 것도 공통점입니다.”
결국 누군가 악성 행위자들을 집결시키는 ‘어둠의 아마존’과 같은 역할을 하고 있다는 것이 브로미움의 결론이다. “이 호스팅 인프라를 통제하고 있는 누군가가 현재 여러 위협 단체들의 목진지 역할을 하고 있는 중입니다. 고객의 뜻에 따라 멀웨어만을 달리하며 작전을 펼치고 있는 것이죠.”
또 하나 중요한 것은 멀웨어를 배포하는 호스팅 서버와 C&C 서버가 분리되어 있다는 것이다. “공격을 성공시킨 후 피해자로부터 오는 데이터는 다른 곳에 저장되고 있었습니다. 아마 공격을 신청하거나 의뢰한 자들에게로 배달되는 게 아닐까 합니다.”
이 어둠의 아마존은 누구일까? 브로미움은 “드리덱스가 호스팅 되어 있고, 네커스 봇넷의 배포 전략과 비슷한 점이 발견되는 것으로 보아 과거 네커스를 퍼트렸던 자들일 확률이 높은 것”으로 보고 있다. “2016년부터 시작된 드리덱스 캠페인은 네커스 봇넷을 타고 퍼졌습니다. 그러한 것이 발전해 오늘날과 같은 형태를 띄게 된 것으로 보입니다.”
브로미움은 이러한 발견에 대해 상세한 보고서를 작성하고 미국의 관련 기업들과 수사 기관에 제출했다. 하지만 문제의 호스팅 업체의 정확한 이름은 대중들에게 공개하지는 않고 있다. 브로미움은 “해당 업체는 대부분 정상적인 기업들에 서비스를 제공하고 있으며, 악의적인 활동으로 서버를 대여한 경우는 극히 일부”라고 설명하기도 했다.
3줄 요약
1. 보안 업체 브로미움, 어둠의 아마존 존재하는 걸 발견하고 각 기관과 업체에 알림.
2. 왜 어둠의 아마존? 공격자들을 대신해 중간에서 다양한 멀웨어를 배포하고 있기 때문.
3. 아직 누구인지 정확한 정체 알 수 없으나, 네커스 봇넷 공격자들과 관련 있어 보임.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.gif)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
