2024-03-29 17:55 (금)
금융기관 타깃 새로운 형태 표적공격 연이어 발생
상태바
금융기관 타깃 새로운 형태 표적공격 연이어 발생
  • 길민권 기자
  • 승인 2017.11.14 15:14
이 기사를 공유합니다

신생 해킹그룹 Silence의 소행, 스피어피싱 이메일로 피해 기관의 인프라 감염시켜

oo.jpg
카스퍼스키랩 연구진은 2017년 9월 러시아, 아르메니아, 말레이시아를 포함한 여러 지역에서 10개 이상의 금융기관에 새로운 형태의 표적공격이 연이어 발생했다고 밝혔다.

이 공격은 신생 해킹그룹인 Silence의 소행으로, 다른 악명 높은 집단인 Carbanak과 유사한 기술을 활용해 피해자로부터 돈을 훔치고 있으며 공격은 지금도 계속 이어지고 있다.

Silence는 금융기관에서 수백만 달러를 절도한 Metel, GCMAN, Carbanak와 함께 피해 규모나 방법의 복잡성 면에서 최악의 사이버 절도를 벌인 조직으로 이름을 올렸다. 이러한 범죄 중대 부분에 사용된 방법은 다음과 같다.

먼저 내부 뱅킹네트워크에 대해 장기간 지속적인 액세스를 확보한 후 해당 네트워크의 일일 활동을 모니터링하고 개별 뱅킹네트워크의 상세 정보를 확인한 다음, 적당한 시기에 그동안 모은 지식을 활용해 돈을 최대한 빼낸다.

Silence 트로이목마도 바로 이 방법을 사용한다. 이 악성코드는 스피어피싱 이메일로 피해 기관의 인프라를 감염시킨다.

메일에 첨부된 악성파일은 그 기능이 매우 정교하다. 피해자가 파일을 열면 한번의 클릭만으로도 다운로드가 연이어 실행되고 결국에는 드롭퍼악성코드가 실행된다. 이 드롭퍼가 C&C 서버와 연결한 후 감염된 기기의 ID를 전송하고 추가 악성코드를 다운로드한 후 실행하여 블루스크린, 데이터업로드, 자격증명정보절도, 원격제어 등의 문제를 일으킨다.

또 흥미롭게도 실제 기관 종사자의 주소를 사용해 피해자에게 계좌개설 요청 이메일을 보내는 식으로 이미 감염된 금융기관 인프라를 새로운 공격에 악용한다. 이 속임수 때문에 메일수신자는 감염 매개를 전혀 인지하지 못하게 된다.

네트워크에 대한 장기간 액세스를 확보한 후에는 네트워크조사에 착수한다. Silence 그룹은 피해자의 컴퓨터 화면을 여러 스크린샷으로 기록하고 피해자의 활동을 실시간 동영상으로 스트리밍하는 등, 일거수일투족을 모니터링할 수 있다. 목적은 단 하나, 바로 피해자의 일상활동을 파악하고 절도를 위한 정보를 충분히 확보하기 위해서이다. 이러한 과정과 방식은 Carbanak의 수법과 매우 유사하다.

카스퍼스키랩 보안연구진은 Silence 공격의 구성요소를 연구하면서 발견한 언어적 증거를 토대로 악성 Silence 공격을 펼친 범죄자들이 러시아어를 사용한다는 사실을 밝혀냈다.

카스퍼스키랩코리아 이창훈 지사장은 “Silence 트로이 목마는 사이버 범죄자들이 일반 사용자가 아닌 은행을 직접 노리는 쪽으로 점차 돌아서고 있음을 보여주는 증거이다. 더욱 교묘하고 전문적인 APT 방식의 사이버절도 범죄가 성행하면서 최근 이 추세는 갈수록 뚜렷해지고 있다. 가장 골치아픈 점은 이들이 은밀히 활동하기 때문에 각 은행의 보안대책의 수준과 관계없이 성공을 거둘 수도 있다는 것이다”라고 말했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★