2024-03-29 03:30 (금)
[긴급] 계정정보 탈취 멀웨어 유포 기승...공격자 서버에 국내 공공과 기업 계정도 확인돼
상태바
[긴급] 계정정보 탈취 멀웨어 유포 기승...공격자 서버에 국내 공공과 기업 계정도 확인돼
  • 길민권 기자
  • 승인 2018.06.23 03:29
이 기사를 공유합니다

공격자의 외부 FTP 서버 확인해 보니 5천700여 개 유출 파일 존재...현재도 작동중

▲ FTP 로그인 및 파일업로드 과정을 패킷 캡쳐한 내용. 파고네트웍스 제공.
▲ 국내 계정정보 탈취 목적의 멀웨어 유포 기승. FTP 로그인 및 파일업로드 과정을 패킷 캡쳐한 내용. 파고네트웍스 제공.
최근 웹브라우저에 입력되는 로그인 아이디와 패스워드 그리고 메일계정 패스워드 정보 등을 탈취해 가는 멀웨어가 국내에 동시다발적으로 유포되고 있어 사용자들의 각별한 주의가 요구된다.

멀웨어 파일은 메일 캠페인을 통해서 “Request For Quotation.Exe” 파일이 첨부되거나, P2P 사이트에서 다운로드되며 어도비 PDF 아이콘으로 위장해 유포되고 있다.

이번 멀웨어를 발견하고 데일리시큐에 제보한 파고네트웍스(대표 권영목) 지능형위협분석대응팀은 "이 멀웨어 파일이 실행되면, 사용자가 웹브라우저를 통해 입력하는 로그인 아이디와 패스워드 그리고 메일계정과 패스워드를 외부 특정 FTP 서버로 자동으로 유출하는 정황을 발견했다"며 "브라우저 패스워드 덤프툴과 이메일 패스워드 덤프 툴이 백그라운드에서 작동하고 상당히 오랜 기간동안 피해 시스템에 머물면서 다양한 웹사이트에 접속하는 사용자의 계정정보를 유출시키는 것으로 확인됐다"고 경고했다.

공격자의 외부 특정 FTP 서버는 6월14일부터 현재까지도 계속 작동하고 있으며 유포된 멀웨어에서 지속적으로 피해자의 계정정보들이 수집되고 있는 것이 확인된 것이다.

멀웨어 분석 내용에 따르면, 해당 멀웨어의 피해 시스템들이 글로벌하게 분포하고 있지만 그중 한국 기업과 공공기관들의 내부 ERP 시스템, 웹로그인 시스템 그리고 메일 시스템에 접속하는 계정들이 다수 발견되었다. 또 특정 사이트에 개인 메일이 아니라 기업메일을 이용한 가입자의 로그인 정보와 패스워드도 그대로 유출된 것으로 조사됐다.

현재까지 약 5천700여 개의 유출된 파일이 FTP 서버에 존재하며 한 개의 파일마다 약100개 미만의 사용자 아이디와 패스워드가 기록되어 있었다.

파고네트웍스에서 분석한 이번 멀웨어의 작동방식은 다음과 같다.

최초 멀웨어 파일이 실행되면 “C:Users사용자명AppDataRoamingLocal4Adobe4low” 경로에 다수의 파일을 생성시키고, xcopy.exe 프로세스를 통해서 “C:Users사용자명AppDataRoamingAdobeAdobe INCAdobeRead” 경로에 앞서 생성된 파일들을 복사한다.

△자동 생성되는 파일들

- BReader.exe

- aijw01.bat

- nimiki09.vbs

- 870.afr

- adbr01.ght

- sun.afr

- Adobeta.exe

- 7922.jpg

- ZREA.vbs

- adbr02.ght

- enikiol03.bat

- adbr01.exe

- adbr02.exe

최초 실행된 멀웨어 프로세스가 종료된 후, wscript.exe 프로세스 하위에 “netsh.exe, adobeta.exe, reg.exe, ipconfig.exe, adbr01.exe, adbr02.exe”등의 프로세스가 실행된다.

k-1-1.jpg
대표적인 하위 백그라운드 프로세스의 역할은 다음과 같다.

-adbr01.exe => Browser Password Dump 역할

-adbr02.exe => Email Password Dump 역할

-Adobeta.exe =>외부 FTP 서버로 수집된 계정과 패스워드 전송

-sun.afr =>외부 FTP 서버로 접속하기 위한 FTP 계정정보 포함

감염된 시스템에서 수집된 계정과 패스워드는 아래 경로에 저장된 후, 외부 FTP 서버로 전송된다. FTP 로그인 및 파일업로드 과정을 패킷 캡쳐한 내용은 위 첫번째 이미지와 같다.

k-2-1.jpg
외부 공격자의 FTP 서버 디렉토리는 현재까지 유효한 상태이며 파일이 직속적으로 업로드되고 있다. 즉 계속 해당 멀웨어 감염에 의한 피해가 발생하고 있다는 것이다.

k-4-1.jpg
각 파일을 오픈해 보면, 유출된 정보가 나열되며 '브라우저 종류, 웹사이트, 유저네임, 패스워드 정보'가 정리되어 있고 공격자에게 지속적으로 제공된다.

k-5-1.jpg
권영목 파고네트웍스 대표는 “이번에 발결된 멀웨어는 파고네트웍스로부터 매니지드 서비스를 받고 있는 여러 고객사에서 동시다발적으로 차단되어 특이점을 찾기 위해 좀더 상세분석을 하게 되었다"며 "해당 멀웨어는 고객사 엔드포인트에 배포된 사일런스(Cylance) 머신러닝 EPP에서 스코어링 및 자동차단되었다. 또 파고네트웍스 위협분석대응팀의 분석과 카운터텍(CounterTack) EDR을 통한 분석보고서가 위협이 차단된 고객사에 배포되었다”고 밝혔다.

이어 “공격자의 FTP 서버는 여전히 운영중이며 유출된 데이터가 계속 업데이트되는 것으로 미루어, 멀웨어가 차단되지 않고 활발히 활동중인 것으로 보인다. 일반 사용자들의 각별한 주의가 필요하다"고 강조했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★