Home > 전체기사
금융 기관 집중해서 노리는 사이버 공격 단체 에빌넘
  |  입력 : 2020-07-10 20:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
에빌넘이라는 멀웨어를 사용하는 공격자들...2년 전부터 금융 산업 노려
유럽에서 피해자 주로 발생하고 있어...각종 정보 수집하고 수익 남기는 듯


[보안뉴스 문가용 기자] 에빌넘(Evilnum)이라는 멀웨어를 이용해 각종 공격을 펼치는 그룹, 에빌넘에 대한 상세 보고서를 보안 업체 이셋(ESET)이 발표했다. 에빌넘은 약 2년 전에 발견된 단체이며, 주로 금융 기관과 기술 기업들을 공격해 왔다. 이셋이 이들을 추적하기 시작한 건 지난 4월부터다. 정상 도구를 공격에 활용하는 경우가 많아 추적이 쉽지 않았다고 한다.

[이미지 = utoimage]


에빌넘은 2018년부터 공격을 해왔지만 자세히 알려진 적이 없는 단체다. 지난 4월 이셋이 보유한 자동화 시스템에서 에빌넘의 공격 도구 중 하나가 탐지되었고, 이를 계기로 추적을 시작했다고 한다. 그 결과 피해자들 대부분 유럽연합과 영국에 분포되어 있는 것이 드러났고, 호주와 캐나다에서 일부 피해자가 발생한 것을 알게 되었다고 한다.

에빌넘의 궁극적인 목적은 공격 표적을 정찰한 후 금융 관련 정보를 수집하는 것이다. 주로 고객 정보가 담긴 스프레드시트 같은 정보를 수집한다. 투자 정보, 거래 현황, 내부 회의 자료, 소프트웨어 라이선스, 소프트웨어 로그인용 크리덴셜, 브라우저 쿠키, 세션 데이터, 신용카드 정보, 신원 문서들도 이들에게 걸리면 무사하지 못하다. 최근 들어서는 VPN 설정 파일들도 탈취 대상이 되었다.

다른 사이버 범죄 단체와 마찬가지로 에빌넘 역시 피싱 이메일로부터 공격을 시작한다. 이메일 안에는 링크 주소가 포함되어 있고, 이를 클릭하면 구글 드라이브에 호스팅 된 한 집(zip) 파일로 연결된다. 다운로드 된 zip 파일에는 여러 개의 LNK 파일들이 있는데, 악성 자바스크립트 요소를 실행시키는 기능을 가지고 있다.

압축되어 있는 LNK 파일들은 여러 개이지만 모두 같은 기능을 가지고 있다. 피해자가 이를 클릭해서 열 경우, 내부 콘텐츠를 검색해 특정 행을 찾아 복사한 후, 이를 자바스크립트 파일에 붙여 넣는다. 그 자바스크립트 파일은 악성 파일로 실행될 경우 가짜 파일을 연다. 주로 사진이나 신용카드 및 신원 확인용 문건들이 열린다. 주로 금융 기관들에서 제출을 요구하는 서류들처럼 보이는 것들이다.

이셋은 “결국 금융 기관이 철저한 보안과 안전한 거래를 위해 고객들의 신원을 확실하게 파악해야 하고, 그러려면 각종 개인정보 및 민감 정보를 대조해봐야 하는데, 이 점을 노린 공격”이라고 요약한다. “이런 가짜 메일과 파일이, 진짜 금융 기관이 제공하는 메일이나 문건과 섞여들면 속기 쉽습니다. 진짜와 가짜의 구분이 어렵기 때문입니다. 둘 다 비슷한 정보를, 비슷한 이유로 요구하니까요.” 이셋이 분석했을 때 피해자들에게 노출되는 문건들은 실제 문건이라고 한다. 다른 해킹 공격을 통해 수집한 문건 혹은 양식들이며, 이를 재활용하고 있는 것이라고 한다.

또 이번 보고서를 통해 새롭게 알려진 건 에빌넘이 여러 개의 C&C 서버들로 구성된 공격 인프라를 운영 중에 있다는 것이다. 그 중 하나는 위에서 언급된 자바스크립트 구성 요소를 관리 및 제어하는 데 사용된다. 주로 공격의 초기 단계에 나타나는 것이며, 추가 멀웨어를 다운로드 받아 실행하는 기능을 발휘한다. 이 때 파이선 기반의 공격 도구나 다크웹에서 판매되는 ‘서비스형 멀웨어’가 주로 나타난다. 또 다른 서버들은 C# 요소 관리, 도구 저장, 탈취한 정보 저장의 용도로 활용되고 있었다.

“에빌넘은 여러 악성 요소들을 공격에 활용하는데, 이들을 각각의 서버에서 따로 관리하고 있었습니다. 또한 과거에 사용했던 것으로 밝혀진 인프라는 이미 폐기한 상태였습니다. 따라서 과거 지식만을 기반으로 추적하기는 어렵습니다.” 그 여러 악성 요소들 중에는 백도어도 다수 포함되어 있다. 스스로 제작한 것도 있지만 구매한 것들도 포함되어 있다.

“에빌넘은 골든 치킨스(Golden Chickens)라는 MaaS 업자에게서 도구들을 주로 구매한 것으로 보입니다. 골든 치킨스는 악성 바이너리와 공격 인프라를 대여해주는 곳으로, C&C 인프라가 범죄자들 사이에서 인기리에 사용되고 있습니다. 골든 치킨스를 이용하는 유명 해킹 집단으로는 핀6(FIN6), 코발트 그룹(Cobalt Group) 등이 있습니다. 주로 금전적인 목적으로 공격을 실시하는 집단들이라는 공통점이 있지요.”

다만 아직까지 에빌넘이 훔친 정보를 어떻게 활용하는지는 정확히 알려져 있지 않은 상태다. “그래도 꾸준히 다른 사업자들의 멀웨어와 인프라를 대여해서 사용하는 걸 보면 수익을 충분히 내고 있다고 볼 수 있습니다. 충분히 수익을 내는데도 독자적인 무기를 개발하지 않는다는 건, 탐지되는 걸 최대한 꺼린다는 뜻이고요.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)