Home > 전체기사

다시 등장한 라쿤 스틸러 캠페인, 또 한 번의 진화를 선보여

  |  입력 : 2021-08-04 16:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
각종 정보를 훔치는 너구리가 다시 활개를 치다 사라졌다. 뒤를 추적해 보니 이 멀웨어를 퍼트리는 드로퍼가 더 문제였다. 운영자들은 각종 멀웨어를 사용해 적잖은 돈을 벌었고, 이를 다음 공격에 투자할 것으로 예상된다.

[보안뉴스 문가용 기자] 정보 탈취형 멀웨어인 라쿤 스틸러(Raccoon Stealer)를 활용한 캠페인이 적발됐다. 라쿤 스틸러에 감염된 피해자들은 암호화폐 관련 정보, 쿠키, 크리덴셜 등의 정보를 빼앗기고 있다고 한다. 보안 업체 소포스(Sophos)가 이 캠페인을 발견해 추적한 후 세상에 알렸다. 현재는 캠페인이 중단된 상태라고 하지만, 비슷한 캠페인들이 계속 나오고 있는 상황이라 주의가 필요하다고 소포스는 경고했다.

[이미지 = utoimage]


라쿤 스틸러 자체는 새롭게 나온 멀웨어가 아니다. 최소 지난 2년여 동안 꾸준하게 보안 업계에 등장해왔다. 토르를 기반으로 한 C&C 서버를 보유하고 있으며, 주기적으로 새로운 기능의 추가가 이뤄진다. 버그 픽스도 기능 추가 때마다 하는 편이다. 주로 러시아어 구사자들이 모여 있는 해킹 포럼에서 거래되는데 가끔 영어 포럼에서도 발견되곤 한다. 버전마다 조금씩 다르지만 기본적으로는 비밀번호, 쿠키, 자동 채우기 텍스트, 신용카드 정보 등을 훔치는데 최근 버전부터 암호화폐 지갑 주소도 수집하기 시작했다.

정보 탈취형 멀웨어는 보통 두 가지 방법을 통해 퍼진다. 스팸 이메일과 악성 웹사이트다. 하지만 라쿤 스틸러의 경우 드로퍼를 활용한다. 이 드로퍼 자체는 해적판 소프트웨어를 유포하는 것처럼 보이는 악성 웹사이트를 통해 퍼진다. 공격자들인 이 악성 웹사이트를 검색 최적화(SEO) 기법을 통해 검색 결과에서 상위에 랭크되도록 만들어 두었다. 크랙 된 소프트웨어를 검색하면 이 사이트가 제일 위 부근에 나타나도록 말이다. 접속해 들어가면 드로퍼가 피해자의 시스템에 설치된다.

드로퍼는 여러 가지 종류의 멀웨어를 유포하고 있었다. 이번 라쿤 스틸러 캠페인을 운영하는 자들이 다크웹의 드로퍼 서비스를 유료로 구매해 활용한 것으로 보인다. 소포스의 수석 분석가인 션 갤러거(Sean Gallagher)는 “라쿤 스틸러 외에 다른 멀웨어들도 같이 유포되고 있었다”고 말하며 “라쿤 스틸러와 다른 정보 탈취 멀웨어, 랜섬웨어, 암호화폐 채굴 멀웨어 등 다양한 종류가 퍼지고 있다”고 경고했다. “라쿤 스틸러를 추적했더니, 더 지독한 드로퍼 캠페인이 발견된 것입니다. 라쿤 스틸러 운영자들이 드로퍼 서비스를 활용해 여러 가지 공격을 실시하고 있었던 것으로 파악됩니다.”

또한 공격자들은 텔레그램(Telegram)이라는 메신저를 독특한 방법으로 활용하기도 했다고 갤러거는 설명한다. “멀웨어 로더가 텔레그램 채널 한 곳으로 신호를 보냅니다. 그런데 그 채널 정보에는 ‘게이트웨이에 접속하는 방법’이 숨겨져 있었습니다. 이걸 사용해 백엔드 서버에 접속하더군요. 텔레그램 채팅이 아니라 채널 정보를 활용하는 기법은 처음 봤습니다. 채널 정보는 자주자주 수정하는 게 가능하고, 따라서 공격자들이 아주 쉽게 포렌식과 추적을 따돌릴 수 있게 됩니다. 아무런 흔적도 남지 않습니다.”

이렇게 여러 가지 방법을 동원해 공격 기술을 발전시킨 캠페인 운영자들은 지난 6개월 동안 암호화폐 채굴 및 탈취만으로 1만 5천 달러를 벌어들인 것으로 보인다. 그리고 이 돈은 위에 언급된 드로퍼 캠페인처럼 새로운 전략과 기술 개발에 사용된다고 한다. “라쿤 스틸러 캠페인은 꽤나 여러 번 출몰했었고, 번번이 보안 업계에 발각돼 깨졌습니다. 그럴 때마다 이들은 새로운 뭔가를 배우고, 그걸 응용해 새로운 모습으로 나타납니다. 이번 라쿤 스틸러 캠페인도 현재는 사라진 상태이지만 조만간 다시 나타날 겁니다.”

3줄 요약
1. 유명 멀웨어, 라쿤 스틸러, 다시 나타나 한 동안 활동하고 사라짐.
2. 추적해 보니 드로퍼 통해 유포되었음. 그리고 그 드로퍼 통해 다양한 여러 멀웨어가 퍼짐.
3. 공격자들은 텔레그램을 독특하게 사용함으로써 추적을 회피하는 기법도 선보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화