Home > 전체기사
유럽, 중동, 한국 노리는 새로운 정보 탈취 그룹, 래티케이트
  |  입력 : 2020-05-18 17:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
오픈소스 인스톨러인 NSIS 활용해 여러 유명 백도어 및 RAT 설치해
루마니아, 쿠웨이트, 한국 등에서 피해 발생...배후 세력의 정체는 아직 불투명


[보안뉴스 문가용 기자] 새로운 사이버 범죄 집단이 발굴됐다. 이름은 래티케이트(RATicate)로 불리며, 특정 기업들을 표적으로 삼고 스팸 공격을 실시하고 있는 중에 적발됐다. 이들의 최종 목적은 로키봇(LokiBot)과 에이전트 테슬라(Agent Tesla) 등과 같은 정보 탈취 페이로드를 심는 것으로 보인다고 한다.

[이미지 = iclickart]


현재 래티케이트가 벌이고 있는 캠페인은 최소 6개인 것으로 보인다. 첫 번째는 11월에 시작되었으며, 가장 최근에 진행된 건 3월에 발각됐다. 모든 캠페인에서 널소프트 스크립터블 인스톨 시스템(Nullsoft Scriptable Install System, NSIS)이 발견됐다. NSIS는 정상적인 오픈소스 도구로, 윈도우 인스톨러를 개발할 때 주로 사용된다. 공격자들은 이를 활용해 각종 백도어와 RAT를 설치했다.

래티케이트를 발견해 세상에 알린 건 보안 업체 소포스(Sophos)로, “이 공격자들도 최근 유행하는 것과 마찬가지로 코로나를 미끼로 한 피싱 공격을 통해 피해자들이 악성 페이로드를 설치하도록 유도한다”고 밝혔다. 래티케이트에 대한 보고서는 위협 분석가인 마켈 피카도(Markel Picado)가 작성했다. 피카도는 보고서를 통해 “래티케이트 공격자들은 계속해서 멀웨어 배포 방법을 바꾸는 것으로 보인다”고 추측했다. 래티케이트가 주로 노린 건 유럽, 중동, 한국의 기업들이라고 한다.

여러 피싱 메시지와 함께 래티케이트는 zip, img, udf, rtf, xls 파일 등 다양한 형태의 악성 파일을 전송한다. 피해자가 이를 열면 NSIS 인스톨러가 시작된다. NSIS는 플러그인 구조를 가지고 있다. 따라서 다양한 소프트웨어 요소들과 통신할 수 있다. 여기에는 윈도우 OS 요소들도 포함된다. 공격자들은 다양한 플러그인을 NSIS에 전달할 수 있고, 이를 통해 프로세스를 종료시키거나 명령행 기반 프로그램들을 실행시킬 수 있다. 파일을 압축하고, DLL을 로딩하는 것도 가능하다. 래티케이트는 주로 System.dll이라는 플러그인을 사용해 악성 DLL을 로딩시키며 엑스포트 된 함수들을 호출한다.

래티케이트가 진행한 캠페인 전부에서 같은 ‘정크 파일’이 발견됐다. 정크 파일이란, 멀웨어가 실제 악성 행위를 하는 데 있어 전혀 필요하지 않은 파일들을 말한다. 소포스는 이 정크 파일의 용도가 ‘분석 방해’일 것이라고 추측한다. “과거에도 쓸데없는 파일과 악성 페이로드를 같이 묶어서 탐지를 회피한 사례가 있었습니다. 쓰레기 파일들이 노이즈를 유발하도록 하는 것이죠.”

NSIS는 피해자 시스템에서 악성 DLL과 함수들을 호출한다. 악성 DLL은 로더로서의 역할을 수행한다. 먼저는 악성 페이로드를 복호화 하고, 이를 메모리에 주입시킨다. 이러는 동안 NSIS는 정크 파일들을 설치하기 시작한다. 악성 페이로드란, 여러 가지 유형의 RAT들을 말한다. 정보를 훔치기 위한 작전으로 볼 수밖에 없는 대목이다.

래티케이트가 주로 사용하는 페이로드 중에는 악명 높은 로키봇도 포함된다. FTP, 이메일, 브라우저 등에 사용되는 각종 크리덴셜을 빼앗는 것으로 유명하다. 그 외에는 베타봇(BetaBot)이라는 루트킷 기반의 금융 멀웨어와, 폼북(Formbook)이라는 브라우저 양식 탈취 및 키로깅 멀웨어도 발견됐다. 로키봇 만큼 유명한 페이로드 중에는 에이전트 테슬라도 있다. 에이전트 테슬라는 크리덴셜 탈취, 클립보드 데이터 탈취, 스크린 캡쳐, 키로깅, 애플리케이션에 저장된 크리덴셜 수집과 같은 역할을 수행하는 스파이웨어다.

래티케이트가 여태까지 보여준 행동 패턴을 보면, 기업 스파이 행위가 주요 목적인 건지, 아니면 서비스형 멀웨어(MAAS)를 제공하는 다크웹의 사업자들인지 구분이 잘 가지 않는다고 한다. 자신들이 직접 시스템으로부터 정보를 탈취해 가져가려는 것일 수도 있지만, 다른 시스템에 대한 접근권한만 확보해 둔 채로, 그 권한을 다른 공격자에게 유료로 넘길 수도 있다는 뜻이다.

현재까지 래티케이트에 당한 기업은 최소 9개인 것으로 보인다. 루마니아의 전기 장비 회사 한 곳, 쿠웨이트의 건설 및 엔지니어링 기업 한 곳, 한국의 인터넷 통신 회사 한 곳과 통신 전지 케이블 제조사 한 곳이 여기에 포함되어 있다. “단순 인프라 대여 정도로는 설명이 되지 않을 정도로 공격 인프라가 꽤나 겹치고 있습니다. 그렇기 때문에 여섯 개 캠페인 모두가 래티케이트의 소행이라고 보이는 것입니다.”

3줄 요약
1. 새로운 사이버 범죄 집단, 래티케이트 발견됨.
2. 현재 유럽, 중동, 한국의 기업들이 이들에게 당해 정보를 넘겨주고 있음.
3. 래이케이트, 직접 정보를 가져가 활용하는 단체일 수도 있고, 공격 인프라 제공하는 다크웹의 유통업자일 수도 있음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)