Home > 전체기사

다시 등장한 라쿤 스틸러 캠페인, 또 한 번의 진화를 선보여

  |  입력 : 2021-08-04 16:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
각종 정보를 훔치는 너구리가 다시 활개를 치다 사라졌다. 뒤를 추적해 보니 이 멀웨어를 퍼트리는 드로퍼가 더 문제였다. 운영자들은 각종 멀웨어를 사용해 적잖은 돈을 벌었고, 이를 다음 공격에 투자할 것으로 예상된다.

[보안뉴스 문가용 기자] 정보 탈취형 멀웨어인 라쿤 스틸러(Raccoon Stealer)를 활용한 캠페인이 적발됐다. 라쿤 스틸러에 감염된 피해자들은 암호화폐 관련 정보, 쿠키, 크리덴셜 등의 정보를 빼앗기고 있다고 한다. 보안 업체 소포스(Sophos)가 이 캠페인을 발견해 추적한 후 세상에 알렸다. 현재는 캠페인이 중단된 상태라고 하지만, 비슷한 캠페인들이 계속 나오고 있는 상황이라 주의가 필요하다고 소포스는 경고했다.

[이미지 = utoimage]


라쿤 스틸러 자체는 새롭게 나온 멀웨어가 아니다. 최소 지난 2년여 동안 꾸준하게 보안 업계에 등장해왔다. 토르를 기반으로 한 C&C 서버를 보유하고 있으며, 주기적으로 새로운 기능의 추가가 이뤄진다. 버그 픽스도 기능 추가 때마다 하는 편이다. 주로 러시아어 구사자들이 모여 있는 해킹 포럼에서 거래되는데 가끔 영어 포럼에서도 발견되곤 한다. 버전마다 조금씩 다르지만 기본적으로는 비밀번호, 쿠키, 자동 채우기 텍스트, 신용카드 정보 등을 훔치는데 최근 버전부터 암호화폐 지갑 주소도 수집하기 시작했다.

정보 탈취형 멀웨어는 보통 두 가지 방법을 통해 퍼진다. 스팸 이메일과 악성 웹사이트다. 하지만 라쿤 스틸러의 경우 드로퍼를 활용한다. 이 드로퍼 자체는 해적판 소프트웨어를 유포하는 것처럼 보이는 악성 웹사이트를 통해 퍼진다. 공격자들인 이 악성 웹사이트를 검색 최적화(SEO) 기법을 통해 검색 결과에서 상위에 랭크되도록 만들어 두었다. 크랙 된 소프트웨어를 검색하면 이 사이트가 제일 위 부근에 나타나도록 말이다. 접속해 들어가면 드로퍼가 피해자의 시스템에 설치된다.

드로퍼는 여러 가지 종류의 멀웨어를 유포하고 있었다. 이번 라쿤 스틸러 캠페인을 운영하는 자들이 다크웹의 드로퍼 서비스를 유료로 구매해 활용한 것으로 보인다. 소포스의 수석 분석가인 션 갤러거(Sean Gallagher)는 “라쿤 스틸러 외에 다른 멀웨어들도 같이 유포되고 있었다”고 말하며 “라쿤 스틸러와 다른 정보 탈취 멀웨어, 랜섬웨어, 암호화폐 채굴 멀웨어 등 다양한 종류가 퍼지고 있다”고 경고했다. “라쿤 스틸러를 추적했더니, 더 지독한 드로퍼 캠페인이 발견된 것입니다. 라쿤 스틸러 운영자들이 드로퍼 서비스를 활용해 여러 가지 공격을 실시하고 있었던 것으로 파악됩니다.”

또한 공격자들은 텔레그램(Telegram)이라는 메신저를 독특한 방법으로 활용하기도 했다고 갤러거는 설명한다. “멀웨어 로더가 텔레그램 채널 한 곳으로 신호를 보냅니다. 그런데 그 채널 정보에는 ‘게이트웨이에 접속하는 방법’이 숨겨져 있었습니다. 이걸 사용해 백엔드 서버에 접속하더군요. 텔레그램 채팅이 아니라 채널 정보를 활용하는 기법은 처음 봤습니다. 채널 정보는 자주자주 수정하는 게 가능하고, 따라서 공격자들이 아주 쉽게 포렌식과 추적을 따돌릴 수 있게 됩니다. 아무런 흔적도 남지 않습니다.”

이렇게 여러 가지 방법을 동원해 공격 기술을 발전시킨 캠페인 운영자들은 지난 6개월 동안 암호화폐 채굴 및 탈취만으로 1만 5천 달러를 벌어들인 것으로 보인다. 그리고 이 돈은 위에 언급된 드로퍼 캠페인처럼 새로운 전략과 기술 개발에 사용된다고 한다. “라쿤 스틸러 캠페인은 꽤나 여러 번 출몰했었고, 번번이 보안 업계에 발각돼 깨졌습니다. 그럴 때마다 이들은 새로운 뭔가를 배우고, 그걸 응용해 새로운 모습으로 나타납니다. 이번 라쿤 스틸러 캠페인도 현재는 사라진 상태이지만 조만간 다시 나타날 겁니다.”

3줄 요약
1. 유명 멀웨어, 라쿤 스틸러, 다시 나타나 한 동안 활동하고 사라짐.
2. 추적해 보니 드로퍼 통해 유포되었음. 그리고 그 드로퍼 통해 다양한 여러 멀웨어가 퍼짐.
3. 공격자들은 텔레그램을 독특하게 사용함으로써 추적을 회피하는 기법도 선보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)