Home > 전체기사
리더가 체포된 코발트 그룹, 아직도 활동 왕성해
  |  입력 : 2018-05-29 14:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
5월부터 시작된 대규모 캠페인, 코발트 그룹의 수법과 동일
리더가 지난 3월 체포돼...그럼에도 활발한 공격 유지하고 있어


[보안뉴스 문가용 기자] ATM 잭파팅 공격으로 유명한 코발트 그룹(Cobalt Group)이 여전히 왕성하게 활동 중이라는 새로운 정황이 드러났다. 코발트 그룹의 리더는 지난 3월 체포된 상황이라, 전혀 반대의 상황이 예상되던 중이었다.

[이미지 = iclickart]


코발트 그룹이 처음 보안 업계의 눈에 띈 건 2016년의 일이다. 하룻밤 안에 동유럽에서 여섯 대의 ATM 기기를 털어 3만 2천 달러가 넘는 돈을 탈취한, 충격적인 등장이었다. 그러면서 2017년 한 해 동안 코발트는 활동 범위를 늘려나가 북미와 남미, 서유럽에까지 진출했다. 2017년 상반기 동안에만 악성 이메일을 13개국 250개 기업 3000명의 사용자들에게 보내기도 했다.

지난 주 보안 업체 포지티브 테크놀로지스(Positive Technologies)가 발표한 보고서에 의하면 2018년 5월 중순, 코발트는 또 다른 피싱 캠페인을 시작했다고 한다. 금융 기관들을 노린 것으로, 자바스크립트로 만들어진 백도어를 여러 시스템에 심는 것이 최종 목표인 공격이었다.

이 백도어에는 여러 기능이 포함돼 있었는데, 사이버 스파잉 기능, 프로그램 실행 기능, 자가 업데이트 및 삭제 기능, 백신 소프트웨어 탐지 기능 등이라고 한다. 또한 C&C 서버와의 통신을 암호화하기까지 했다. 포지티브 테크놀로지스에 의하면 이러한 모든 기능과 수법은 과거 코발트 그룹이 사용하던 것과 정확히 일치한다고 한다.

“하지만 포지티브 테크놀로지스에서는 코발트 스트라이크(Cobalt Strike)라는 툴을 직접 발견하지는 못했습니다. 코발트 스트라이크야말로 코발트 그룹의 트레이드마크와 같은 툴이며, 코발트라는 이름 자체도 이 툴에서 나온 바 있습니다. 하지만 이 툴이 발견되지 않았다는 점 외에 공격의 거의 모든 부분이 코발트 그룹의 과거 행적과 일치합니다.”

코발트 그룹은 사용자를 속이기 위해 여러 가지 기술을 구사한다.
1) 보안이 약한 웹사이트들을 해킹하여 멀웨어를 호스팅한다.
2) 진짜 금융 기관에서 보낸 것과 같은 가짜 악성 메시지를 보낸다.
3) 일반 직원들의 직장 메일과 개인 메일을 모두 공략하기도 한다.
그리고 이 모든 수법의 궁극적인 목적은 ATM과 연결된 은행 메시지들을 공격하는 것이다. ATM을 통제하여 현금을 마구 쏟아내게 하면, 미리 짜고 대기하고 있던 운반책들이 급습하여 돈을 담아간다.

그렇다면 어떤 점에서 이번에 발견된 사이버 공격과 코발트 그룹의 기존 행위가 닮은 걸까?
1) 가짜 이메일 등의 메시지들이 발송된 도메인의 구조가 코발트가 이전 사용했던 것과 동일하다.
2) 메시지들에는 악성 문서로 연결되는 링크가 포함되어 있다.
3) 악성 문서는 세 가지 취약점을 익스플로잇하는데, 바로 CVE-2017-8570, CVE-2017-11882, CVE-2018-0802다. MS 워드에서 나타난 원격 코드 실행 취약점으로 코발트 그룹이 지난 2월부터 사용해온 ‘킬 체인’이다.

포지티브 테크놀로지스의 CTO인 앤드류 버샤드스키(Andrew Bershadsky)는 “코발트 그룹은 소셜 엔지니어링 기법에 많이 의존하는 단체로, 직접 분석한 바에 의하면 약 30%의 메일 수신자가 악성 링크를 클릭한다”고 설명한다. “이렇게 성과가 좋으니 소셜 엔지니어링 기법에 의존할 수밖에 없습니다. 심지어 보안 담당자 중에 여기에 걸려든 이가 3%나 될 정도입니다.”

포지티브 테크놀로지스에 의하면 위 세 가지 중 한 가지 취약점에 대한 익스플로잇이 성공하면 BAT 스크립트가 실행되고 표준 윈도우 유틸리티가 시작된다고 한다. 이는 앱락커(AppLocker)를 우회하기 위한 것이기도 하며 SCT나 COM 객체들을 실행시키기 위한 것이기도 하다. 보통 표준 윈도우 유틸리티인 regsvr32.exe가 사용된다. 이 유틸리티는 COM-DLL-Dropper를 다운로드 받는데, 이 드로퍼가 바로 최종 백도어를 가져와 실행시키는 역할을 맡고 있다.

또한 흥미로운 사실은 지난 3월 26일 스페인 경찰이 코발트 그룹의 리더이면서 카르바낙(Carbanak)이란 사이버 갱단과 연루된 인물을 체포했다는 사실이다. 리더가 없이도 코발트 그룹이 활동을 유지할 수 있을 만큼 시스템을 잘 갖췄거나, 해당 인물만큼 중요한 인물이 또 존재한다는 뜻이다. 당시 스페인 경찰은 체포된 인물이 100개 이상의 금융 기관을 해킹했으며 10억 유로 이상의 피해를 입혔다고 발표했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제