.jpg)
.gif)
에빌 코프 혹은 듀디어...전 세계 기업과 기관에 수천만 달러 피해 입혀
리디렉터라는 기법 새롭게 활용하기 시작...페이로드는 그레이스와이어
[보안뉴스 문가용 기자] 사이버 범죄 그룹인 에빌 코프(Evil Corp) 혹은 듀디어(Dudear)가 짧은 휴식을 마치고 돌아왔다는 소식이다. 돌아오면서 이전에는 사용하지 않았던 멀웨어 배포 방법을 가지고 왔다고 한다.
[이미지 = iclickart]
이를 발견한 건 마이크로소프트다. 에빌 코프가 보내는 이메일에서 HTML 리디렉터가 사용되는 것을 알아챘지만, 이 리디렉터들이 이메일 본문 내 URL인지, 이메일 첨부파일에 임베드 된 요소인지는 확실하지 않다고 발표했다. 어느 쪽이든 이 리디렉터를 클릭할 경우, 악성 엑셀 파일이 다운로드 되며, 이 파일의 매크로 기능을 피해자가 활성화 시킬 때 최종 페이로드가 드롭된다.
마이크로소프트 보안 연구 팀은 “듀디어가 HTML 리디렉터를 사용하는 건 이번이 처음”이라고 트위터를 통해 설명하며, 침해지표를 공개하기도 했다. “공격자들은 현재 HTML 파일들을 다양한 언어로 구성해 사용하고 있습니다. 또한 IP 역추적 서비스를 사용해 악성 엑셀 파일이 다운로드 된 컴퓨터의 IP 주소를 추적하고 있기도 합니다.”
에빌 코프가 이러한 전략을 사용한 건 이번이 처음이긴 하지만, 리디렉터가 공격에 활용되는 것 자체는 이미 오래 전의 일이다. 리디렉터 URL이 피싱 이메일에 삽입되는 건 흔한 일이다. 예를 들어 웹 브라우저의 피싱 필터가 악성 URL을 차단하기 시작하면, 공격자들은 리디렉터 URL을 활용해 이 필터를 피해간다.
리디렉터 활용은 꽤나 유용한 전략이다. 이미 방어자들에게 알려진 악성 콘텐츠를 포함한 첨부파일이나 이메일을 사용하지 않도록 해주기 때문이다. 또한 악성 파일을 피해자의 시스템에 곧장 다운로드 시키는 것도 가능하게 된다. 보안 업체 노비포(KnowBe4)의 데이터 보안 전문가인 로저 그라임즈(Roger Grimes)는 “리디렉터를 활용하는 범죄자들이 늘어난다는 건, 사이버 범죄자들이 현대 보안 시스템을 앞서가기 위해 끊임없이 연구한다는 걸 보여준다”고 말한다.
원래 에빌 코프는 HTML 리디렉터를 멀웨어 배포에 활용하지 않았었다. 단순 링크나 악성 파일을 첨부하는 방식만을 사용했는데, 이는 방어 툴에 쉽게 탐지됐다. 그럼에도 수천만 달러의 피해를 입힌 기록을 가지고 있기도 하다.
이번 캠페인에서 사용되는 최종 페이로드는 그레이스와이어(GraceWire)라는 트로이목마인 것으로 나타났다. 정보 탈취에 특화되어 있는 멀웨어로, 이전 캠페인에도 사용됐다. 하지만 에빌 코프는 드리덱스(Dridex)라는 뱅킹 트로이목마를 가장 많이 사용하는 것으로 알려져 있다. 이번 캠페인의 피해자들에 대한 내용은 아직 MS가 파악 중에 있다.
에빌 코프는 그 동안 뱅킹 크리덴셜을 훔쳐 잘못된 송금을 유도하는 방식으로 수익을 올려 왔다. 엉뚱하게 전송된 돈은 자금 운반책들이 나눠서 해외로 송금하는 식으로 빼돌려졌다. 수많은 기관과 업체들이 에빌 코프에 당했고, 천문학적인 피해를 입은 곳도 있다.
에빌 코프는 12월부터 활동을 중단한 상태였다. 미국 사법 기관이 에빌 코프의 뒤를 추적하기 시작하면서였다. 미국 정부는 에빌 코프의 핵심 멤버이자 지도자인 막심 야쿠베츠(Maksim Yakubets)에 5백만 달러의 현상금을 걸기도 했다. 야쿠베츠는 러시아인이며, 온라인에서 아쿠아(aqua)라는 이름으로 활동한다고 알려져 있다.
3줄 요약
1. 12월부터 휴식 취해온 에빌 코프, 휴가 마치고 새롭게 돌아옴.
2. 이번에는 리디렉터를 활용하는 새로운 면모를 보임.
3. 현재 에빌 코프의 핵심 멤버에게는 500만 달러의 현상금이 걸려 있는 상태.
[국제부 문가용 기자(globoan@boannews.com)]
리디렉터라는 기법 새롭게 활용하기 시작...페이로드는 그레이스와이어
[보안뉴스 문가용 기자] 사이버 범죄 그룹인 에빌 코프(Evil Corp) 혹은 듀디어(Dudear)가 짧은 휴식을 마치고 돌아왔다는 소식이다. 돌아오면서 이전에는 사용하지 않았던 멀웨어 배포 방법을 가지고 왔다고 한다.
[이미지 = iclickart]
이를 발견한 건 마이크로소프트다. 에빌 코프가 보내는 이메일에서 HTML 리디렉터가 사용되는 것을 알아챘지만, 이 리디렉터들이 이메일 본문 내 URL인지, 이메일 첨부파일에 임베드 된 요소인지는 확실하지 않다고 발표했다. 어느 쪽이든 이 리디렉터를 클릭할 경우, 악성 엑셀 파일이 다운로드 되며, 이 파일의 매크로 기능을 피해자가 활성화 시킬 때 최종 페이로드가 드롭된다.
마이크로소프트 보안 연구 팀은 “듀디어가 HTML 리디렉터를 사용하는 건 이번이 처음”이라고 트위터를 통해 설명하며, 침해지표를 공개하기도 했다. “공격자들은 현재 HTML 파일들을 다양한 언어로 구성해 사용하고 있습니다. 또한 IP 역추적 서비스를 사용해 악성 엑셀 파일이 다운로드 된 컴퓨터의 IP 주소를 추적하고 있기도 합니다.”
에빌 코프가 이러한 전략을 사용한 건 이번이 처음이긴 하지만, 리디렉터가 공격에 활용되는 것 자체는 이미 오래 전의 일이다. 리디렉터 URL이 피싱 이메일에 삽입되는 건 흔한 일이다. 예를 들어 웹 브라우저의 피싱 필터가 악성 URL을 차단하기 시작하면, 공격자들은 리디렉터 URL을 활용해 이 필터를 피해간다.
리디렉터 활용은 꽤나 유용한 전략이다. 이미 방어자들에게 알려진 악성 콘텐츠를 포함한 첨부파일이나 이메일을 사용하지 않도록 해주기 때문이다. 또한 악성 파일을 피해자의 시스템에 곧장 다운로드 시키는 것도 가능하게 된다. 보안 업체 노비포(KnowBe4)의 데이터 보안 전문가인 로저 그라임즈(Roger Grimes)는 “리디렉터를 활용하는 범죄자들이 늘어난다는 건, 사이버 범죄자들이 현대 보안 시스템을 앞서가기 위해 끊임없이 연구한다는 걸 보여준다”고 말한다.
원래 에빌 코프는 HTML 리디렉터를 멀웨어 배포에 활용하지 않았었다. 단순 링크나 악성 파일을 첨부하는 방식만을 사용했는데, 이는 방어 툴에 쉽게 탐지됐다. 그럼에도 수천만 달러의 피해를 입힌 기록을 가지고 있기도 하다.
이번 캠페인에서 사용되는 최종 페이로드는 그레이스와이어(GraceWire)라는 트로이목마인 것으로 나타났다. 정보 탈취에 특화되어 있는 멀웨어로, 이전 캠페인에도 사용됐다. 하지만 에빌 코프는 드리덱스(Dridex)라는 뱅킹 트로이목마를 가장 많이 사용하는 것으로 알려져 있다. 이번 캠페인의 피해자들에 대한 내용은 아직 MS가 파악 중에 있다.
에빌 코프는 그 동안 뱅킹 크리덴셜을 훔쳐 잘못된 송금을 유도하는 방식으로 수익을 올려 왔다. 엉뚱하게 전송된 돈은 자금 운반책들이 나눠서 해외로 송금하는 식으로 빼돌려졌다. 수많은 기관과 업체들이 에빌 코프에 당했고, 천문학적인 피해를 입은 곳도 있다.
에빌 코프는 12월부터 활동을 중단한 상태였다. 미국 사법 기관이 에빌 코프의 뒤를 추적하기 시작하면서였다. 미국 정부는 에빌 코프의 핵심 멤버이자 지도자인 막심 야쿠베츠(Maksim Yakubets)에 5백만 달러의 현상금을 걸기도 했다. 야쿠베츠는 러시아인이며, 온라인에서 아쿠아(aqua)라는 이름으로 활동한다고 알려져 있다.
3줄 요약
1. 12월부터 휴식 취해온 에빌 코프, 휴가 마치고 새롭게 돌아옴.
2. 이번에는 리디렉터를 활용하는 새로운 면모를 보임.
3. 현재 에빌 코프의 핵심 멤버에게는 500만 달러의 현상금이 걸려 있는 상태.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)