사이트 침해해 결제 페이지에 카드 스키밍 코드 입혀...그 과정에서 문제 일으켜
스키밍 코드 심기 위해 백도어부터 심고, 크리덴셜 훔치고, 메모리까지 침투해
[보안뉴스 문가용 기자] 금전적인 목적으로 사이버 공격을 일삼는 단체인 핀6(FIN6)가 최근 전략을 수정했다. 원래는 미국과 유럽 등지의 오프라인 매장에서 POS 데이터를 훔쳐내는 것으로 악명이 높았는데, 어느 새 전자상거래 웹사이트를 노리는 방식으로 전환했다는 소식이다.
[이미지 = iclickart]
IBM의 엑스포스(X-Force) 팀에 의하면 최근 핀6는 악성 카드 스키밍 코드를 온라인 결제 페이지에 주입하기 시작했다고 한다. 지불 카드의 데이터를 훔치는 기능을 가진 코드로, 쇼핑 카트(장바구니) 양식에 기입되는 데이터들이 주요 목표가 된다. 이것도 그 자체로 문제지만, 핀6가 악성 코드를 주입하기 위해 웹사이트와 운영 업체를 먼저 침해한다는 것도 심각한 문제다.
“핀6 공격자들은 카드 스키밍 코드를 심어 지불 관련 정보를 훔치기 전에 표적이 된 웹사이트와 업체에 백도어를 심습니다. 주로 모어에그즈(More_eggs)라는 자바스크립트 백도어 멀웨어를 사용합니다. 이 백도어를 통해 스키밍 코드가 이식되는 것이죠. 모어에그즈는 테라 로더(Terra Loader)나 스파이시오믈렛(SpicyOmelette)이라고도 알려져 있고, 다크웹에서 판매되고 있습니다.” 엑스포스 팀의 설명이다.
공격의 시작은 이메일로부터 시작된다. “주로 다국적 대기업들을 노리고 있는 것으로 보입니다. 특정 직원에게 스피어피싱 이메일을 보내 공격을 시작하죠. 최근까지 발견된 공격 메일 샘플을 보면, 다른 직장에서 온 스카우트 제안 메일로 위장된 경우가 많습니다.” 여기에 속아 메일을 열고 첨부파일을 실행하면 모어에그즈가 설치된다.
여기에 더해 핀6는 자신들이 그동안 능숙하게 사용해왔던 전략을 함께 차용하고 있다. 윈도우 관리 도구(WMI)를 남용해 파워셸(PowerShell) 스크립트를 원격에서 실행하는 것이다. 이를 통해 피해자 네트워크에서 횡적으로 움직이며 멀웨어를 심을 수 있게 된다. 뿐만 아니라 코모도(Comodo)의 코드 서명 인증서들을 사용하는 것도 목격됐다. 이 역시 핀6가 과거에 종종 사용해왔던 전략이다.
공격의 해부
핀6는 공격 대상을 가려내기 위해 링크드인 소셜 플랫폼을 주로 사용한다고 한다. “링크드인은 구인구직을 테마로 한 소셜 사이트죠. 여기서 가짜 구인광고를 내보내거나 스카우트를 제안하는 식으로 사람들을 꼬드깁니다. 한 경우, 큰 회사의 직원에게 구인 소식이라며 구글 드라이브 URL을 보내기도 했습니다. 클릭하면 ‘온라인 열람이 불가능하다’는 메시지가 뜨고, 두 번째 URL이 제시됩니다. 누르면 내용이라는 게 다운로드 되는데 배경에서는 악성 페이로드가 설치되죠.”
실제로 다운로드 되는 건 ZIP 파일이다. 모어에그즈 백도어를 설치할 악성 윈도우 스크립트 파일(WSF)이 포함되어 있다. 이 스크립트는 공격자의 C&C 인프라와의 연결을 위해 리버스 셸(reverse shell)을 발동시킨다. 그런 후 모어에그즈가 설치되고 작동을 시작한다.
모어에그즈는 다른 파일을 추가로 다운로드 받고 실행시킬 수 있는 기능을 가지고 있다. 그리고 cmd.exe를 사용해 명령을 실행할 수도 있다. 그렇게 하기 위해 모어에그즈는 서명된 바이너리 셸코드 로더를 다운로드 받고 리버스 셸을 생성한다. 이를 통해 원격 호스트와 연결될 수 있다. 연결이 성립되면 핀6는 드디어 카드 스키머를 설치하기 시작한다. 스키머를 올바른 위치에 설치하기 위해 공격자들은 WMI와 파워셸을 활용해 네트워크 내부에서 횡적으로 움직이며 정찰을 실시한다.
“공격자들은 메타스플로잇(Metasploit)을 설치합니다. 그러면서 미터프리터(Meterpreter) 세션과 미미캐츠(Mimikatz)를 만들기도 합니다. 미터프리터는 메타스플로잇의 한 구성 요소로, 메모리 내 DLL 주입 기능을 통해 시스템을 감염시키는 데 활용됩니다. 미미캐츠는 익스플로잇 후에 사용하는 툴로 크리덴셜을 추출하는 데 사용됩니다. 크리덴셜을 훔친 후 권한 상승 공격을 해서 더 활발하게 횡적으로 움직이게 되는 겁니다.”
즉 공격자들이 적당한 곳에 카드 스키머를 심으려고 휘젓고 다니면서 추가적인 피해가 발생한다는 것이다. 카드 정보 혹은 지불 관련 정보만 도난당하는 게 아니라, 그를 위한 준비 작업 도중에 더 많은 상처들이 나기 때문에 지금 이 핀6의 바뀐 전략이 문제가 되고 있다. “결국 공격자들도 시대의 흐름에 따라 수법을 바꾸기 마련인데, 그 과정에서 그들조차도 의도치 않았던 피해가 발생하고 있습니다. 그들은 당분간 더 휘젓고 다닐 것으로 보입니다.”
3줄 요약
1. 시대가 바뀌며 오프라인 매장이 온라인 매장으로 대체되고 있는 상황.
2. 이에 오프라인 매장 노리던 핀6라는 범죄 단체도 온라인 쇼핑 사이트로 표적을 바꿈.
3. 그 과정에서 카드 정보만 쏙 빼는 게 아니라, 추가적인 피해도 입히고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
스키밍 코드 심기 위해 백도어부터 심고, 크리덴셜 훔치고, 메모리까지 침투해
[보안뉴스 문가용 기자] 금전적인 목적으로 사이버 공격을 일삼는 단체인 핀6(FIN6)가 최근 전략을 수정했다. 원래는 미국과 유럽 등지의 오프라인 매장에서 POS 데이터를 훔쳐내는 것으로 악명이 높았는데, 어느 새 전자상거래 웹사이트를 노리는 방식으로 전환했다는 소식이다.
[이미지 = iclickart]
IBM의 엑스포스(X-Force) 팀에 의하면 최근 핀6는 악성 카드 스키밍 코드를 온라인 결제 페이지에 주입하기 시작했다고 한다. 지불 카드의 데이터를 훔치는 기능을 가진 코드로, 쇼핑 카트(장바구니) 양식에 기입되는 데이터들이 주요 목표가 된다. 이것도 그 자체로 문제지만, 핀6가 악성 코드를 주입하기 위해 웹사이트와 운영 업체를 먼저 침해한다는 것도 심각한 문제다.
“핀6 공격자들은 카드 스키밍 코드를 심어 지불 관련 정보를 훔치기 전에 표적이 된 웹사이트와 업체에 백도어를 심습니다. 주로 모어에그즈(More_eggs)라는 자바스크립트 백도어 멀웨어를 사용합니다. 이 백도어를 통해 스키밍 코드가 이식되는 것이죠. 모어에그즈는 테라 로더(Terra Loader)나 스파이시오믈렛(SpicyOmelette)이라고도 알려져 있고, 다크웹에서 판매되고 있습니다.” 엑스포스 팀의 설명이다.
공격의 시작은 이메일로부터 시작된다. “주로 다국적 대기업들을 노리고 있는 것으로 보입니다. 특정 직원에게 스피어피싱 이메일을 보내 공격을 시작하죠. 최근까지 발견된 공격 메일 샘플을 보면, 다른 직장에서 온 스카우트 제안 메일로 위장된 경우가 많습니다.” 여기에 속아 메일을 열고 첨부파일을 실행하면 모어에그즈가 설치된다.
여기에 더해 핀6는 자신들이 그동안 능숙하게 사용해왔던 전략을 함께 차용하고 있다. 윈도우 관리 도구(WMI)를 남용해 파워셸(PowerShell) 스크립트를 원격에서 실행하는 것이다. 이를 통해 피해자 네트워크에서 횡적으로 움직이며 멀웨어를 심을 수 있게 된다. 뿐만 아니라 코모도(Comodo)의 코드 서명 인증서들을 사용하는 것도 목격됐다. 이 역시 핀6가 과거에 종종 사용해왔던 전략이다.
공격의 해부
핀6는 공격 대상을 가려내기 위해 링크드인 소셜 플랫폼을 주로 사용한다고 한다. “링크드인은 구인구직을 테마로 한 소셜 사이트죠. 여기서 가짜 구인광고를 내보내거나 스카우트를 제안하는 식으로 사람들을 꼬드깁니다. 한 경우, 큰 회사의 직원에게 구인 소식이라며 구글 드라이브 URL을 보내기도 했습니다. 클릭하면 ‘온라인 열람이 불가능하다’는 메시지가 뜨고, 두 번째 URL이 제시됩니다. 누르면 내용이라는 게 다운로드 되는데 배경에서는 악성 페이로드가 설치되죠.”
실제로 다운로드 되는 건 ZIP 파일이다. 모어에그즈 백도어를 설치할 악성 윈도우 스크립트 파일(WSF)이 포함되어 있다. 이 스크립트는 공격자의 C&C 인프라와의 연결을 위해 리버스 셸(reverse shell)을 발동시킨다. 그런 후 모어에그즈가 설치되고 작동을 시작한다.
모어에그즈는 다른 파일을 추가로 다운로드 받고 실행시킬 수 있는 기능을 가지고 있다. 그리고 cmd.exe를 사용해 명령을 실행할 수도 있다. 그렇게 하기 위해 모어에그즈는 서명된 바이너리 셸코드 로더를 다운로드 받고 리버스 셸을 생성한다. 이를 통해 원격 호스트와 연결될 수 있다. 연결이 성립되면 핀6는 드디어 카드 스키머를 설치하기 시작한다. 스키머를 올바른 위치에 설치하기 위해 공격자들은 WMI와 파워셸을 활용해 네트워크 내부에서 횡적으로 움직이며 정찰을 실시한다.
“공격자들은 메타스플로잇(Metasploit)을 설치합니다. 그러면서 미터프리터(Meterpreter) 세션과 미미캐츠(Mimikatz)를 만들기도 합니다. 미터프리터는 메타스플로잇의 한 구성 요소로, 메모리 내 DLL 주입 기능을 통해 시스템을 감염시키는 데 활용됩니다. 미미캐츠는 익스플로잇 후에 사용하는 툴로 크리덴셜을 추출하는 데 사용됩니다. 크리덴셜을 훔친 후 권한 상승 공격을 해서 더 활발하게 횡적으로 움직이게 되는 겁니다.”
즉 공격자들이 적당한 곳에 카드 스키머를 심으려고 휘젓고 다니면서 추가적인 피해가 발생한다는 것이다. 카드 정보 혹은 지불 관련 정보만 도난당하는 게 아니라, 그를 위한 준비 작업 도중에 더 많은 상처들이 나기 때문에 지금 이 핀6의 바뀐 전략이 문제가 되고 있다. “결국 공격자들도 시대의 흐름에 따라 수법을 바꾸기 마련인데, 그 과정에서 그들조차도 의도치 않았던 피해가 발생하고 있습니다. 그들은 당분간 더 휘젓고 다닐 것으로 보입니다.”
3줄 요약
1. 시대가 바뀌며 오프라인 매장이 온라인 매장으로 대체되고 있는 상황.
2. 이에 오프라인 매장 노리던 핀6라는 범죄 단체도 온라인 쇼핑 사이트로 표적을 바꿈.
3. 그 과정에서 카드 정보만 쏙 빼는 게 아니라, 추가적인 피해도 입히고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
