Home > 전체기사
어설펐던 러시아의 해커단, 1년 동안 350만 달러 조용히 훔쳐
  |  입력 : 2019-08-22 10:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
작년에 처음 정체 공개된 사일런스...세계 여러 금융 조직들 노리고 있어
TA505가 주력으로 사용하던 멀웨어의 개발자...사일런스의 주력 멀웨어도 개발


[보안뉴스 문가용 기자] 러시아어를 구사하는 사이버 해킹 그룹이 2018년 9월부터 현재까지 350만 달러를 야금야금 훔쳐왔다고 싱가포르의 보안 업체 그룹IB(Group-IB)가 발표했다.

[이미지 = iclickart]


문제의 해킹 그룹은 사일런스(Silence)라는 이름으로 추적되고 있는 APT 단체로, 작년에 처음으로 그 정체가 드러났다. 당시 25개의 구 소련 및 인접 국가들을 공격하고 있었다. 현재는 표적 국가의 수를 늘린 상태며, 공격 도구와 전략 등도 그 때와 달라졌다고 한다.

정체가 밝혀지고서부터 지금까지 사일런스는 최소 16개의 새로운 캠페인을 진행해왔다. 30개가 넘는 국가들의 은행들이 주요 목표였다. 대륙별로는 유럽, 남아메리카, 아프리카, 아시아가 고루 당했다. 한 캠페인의 경우 더치방글라 은행(Dutch-Bangla Bank)을 표적 삼아 실시됐는데, 자금 운반을 맡은 자드이 ATM에서 현금을 인출해가는 장면이 CCTV에 녹화되기도 했다.

사일런스의 공격은 다음과 같은 순서로 발생했다.
1) 2018년 8월 : 인도
2) 2019년 2월과 6월 : 러시아
3) 2019년 5월 : 키르기스스탄
4) 2019년 7월 : 칠레, 가나, 코스타리카, 불가리아

여기에 더해 사일런스는 현재까지 자신들이 저질러온 공격 중 가장 큰 규모의 정찰 캠페인을 아시아 지역에서 펼치기도 했다. 그룹IB는 “사일런스가 현재 아시아 지역에 특별한 관심을 가지고 움직이는 것으로 보인다”고 해석한다.

사일런스가 최초 침투를 위해 주력으로 사용하는 공격법은 피싱이었다. 2018년 10월부터는 “메일 발송이 실패했다”는 오류 알림 이메일로 위장된 메시지를 보내기 시작했다. 이 메시지에는 링크가 하나 포함되어 있었는데, 악성 페이로드가 연결되거나 다운로드 되지는 않았다. 이는 정찰용 메일로, 공격 표적이 된 조직 내에서 어떤 메일 주소들이 사용되고 있으며, 어떤 보안 솔루션들이 설치되어 있는지 알아내는 것이 목적이었다.

그룹IB는 “이런 식의 정찰 목적 캠페인이 최소 세 개 발견되었다”고 밝혔다. 아시아와 유럽, 구 소련 국가들에서였다. “약 17만 통의 가짜 이메일이 발송됐습니다. 가장 규모가 큰 캠페인은 아시아 지역을 노리고 일어났는데, 약 8만 통의 이메일이 대만, 말레이시아, 대한민국, UAE, 인도네시아, 파키스탄, 요르단, 사우디아라비아, 싱가포르, 베트남, 홍콩, 중국의 조직들에 전송됐습니다.”

표적이 늘어난 것 외에, 공격 도구에도 변화가 있었다. 2019년 5월부터 파워셸을 기반으로 한 파일레스 로더인 아이보크(Ivoke)를 최초 감염 단계에서 사용하기 시작한 것이다. 그 전까지는 트루봇(Trubot)이라는 로더를 사용했었다. “5월부터 두 가지 로더를 혼합해서 사용하는 모습을 보였습니다.”

새로운 공격 도구 중에는 엠파이어DNS에이전트(EmpireDNSAgent)라는 것도 있다. EDA라고 편하게 줄여서 부르기도 한다. 역시 파워셸로 만들어진 것으로, 네트워크 내에서 횡적으로 움직일 수 있게 해주는 기존 툴들인 엠파이어(Empire)와 dnscat2을 기반으로 하고 있다. 명령 셸과 트래픽 터널링 기술을 통해 침해한 시스템을 공격자가 통제할 수 있도록 해준다.

사일런스가 원격에서 ATM을 제어하기 위해 사용해왔던 멀웨어 중에 애트모스피어(Atmosphere)가 있다. 여기에 더해 최근부터는 xfs-disp.exe라는 멀웨어도 사용하기 시작했다. 이 멀웨어는 실제 핵심 공격을 실행하는 단계에서 주로 사용된다.

그룹IB는 “사일런스와 TA505라는 또 다른 APT 그룹 사이에서 연관성이 발견되기도 했다”고 발표했다. TA505 역시 러시아어를 구사하는 APT 단체로, 드리덱스(Dridex)와 록키(Locky) 멀웨어 패밀리를 주로 사용하는 것으로 유명하다. 최근 TA505도 여러 나라의 금융 기관들을 공격했었다.

“TA505는 플로드애미(FlawedAmmyy)라는 원격 접근 툴을 주로 사용합니다. 그런데 TA505의 플로드애미와 사일런스의 트루봇이 같은 인물의 손에서 탄생했습니다. 저희가 조사했을 때 러시아어를 구사하는 개발자 한 명입니다.”

그룹IB는 “사일런스는 처음 발견됐을 때만 해도 꽤나 어설픈 공격자였다”고 말한다. “실수도 많고, 다른 공격 단체들을 흉내 내는 것이 거의 전부였죠. 하지만 지금은 꽤나 실력이 늘었습니다. 전 세계 금융 기관들을 대상으로 표적 공격을 실시한다는 것만 봐도 알 수 있죠. 심지어 표적이 더 많아지기도 했어요. 공격자들의 발전 속도가 가장 위협적인 요소입니다.”

3줄 요약
1. 러시아어 구사하는 APT 그룹, 사일런스. 공격적으로 캠페인 진행하면 실력도 업그레이드.
2. 원래는 러시아 인근 국가들만 노렸지만, 지금은 전 세계 고루고루 공격함.
3. 각종 공격 툴에 대한 업그레이드와 추가도 최근 있었음. 발전 속도가 어마 무시함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)