보안 / 프라이버시

앵글러 익스플로잇 키트 대여해주는 사이버 범죄 조직 ‘러크’ 검거...카스퍼스키

편집부 | ITWorld 2016.09.01
카스퍼스키랩은 사이버 공격에 많이 사용되는 앵글러(Angler) 익스플로잇 키트를 사이버 범죄조직에게 대여해 준 사이버 범죄조직 ‘러크(Lurk)’를 사법기관과 공조수사해 검거했다고 밝혔다. 이들은 러시아 기업과 은행에서 4,500만 달러 이상 훔친 혐의를 받고 있다.

앵글러 익스플로잇 키트는 지난 수년간 지하 시장에서 해커들에게 제공되어 온 가장 강력한 도구 가운데 하나다. 이는 널리 사용되는 소프트웨어의 취약점을 파고 들어 PC에 악성코드를 몰래 설치하는 악성 프로그램의 집합이다. 앵글러는 2013년 말 공개됐으며, 애드웨어부터 뱅킹 악성코드, 랜섬웨어에 이르기까지 다양한 종류의 악성코드 유포와 관련된 여러 사이버 범죄 집단에서 사용됐다.

특히, 온라인에서 가장 발생 빈도가 높고 가장 위험한 랜섬웨어 위협 가운데 하나인 CryptXXX 랜섬웨어와 TeslaCrypt 등의 배후에 있는 집단이 이 익스플로잇 키트를 적극적으로 활용한 것으로 드러났다. 또 앵글러는 거의 100개에 달하는 다양한 은행을 공격하도록 설계된 네버퀘스트(Neverquest) 뱅킹 트로이목마를 유포하는 데도 사용됐다. 앵글러의 활동은 러크 조직이 구속된 후 바로 중단됐다.

카스퍼스키랩 보안 전문가들이 조사한 바에 따르면, 앵글러 익스플로잇 키트는 처음에는 러크 내부 전용으로 개발됐고, 뱅킹 악성코드를 목표 PC에 좀 더 용이하게 유포할 수 있도록 안정적이고 효율적인 전달 채널을 제공하는 것을 목적으로 했다.

러크 조직은 매우 폐쇄적인 집단이었기 때문에 다른 조직처럼 아웃소싱을 이용하지 않고 자체적으로 중요 인프라를 통제하는 방침을 고수했지만, 2013년 상황이 변하면서 대가를 지불하면 누구나 이 키트를 이용할 수 있도록 공개한 것이다.

카스퍼스키랩코리아(www.kaspersky.co.kr)의 이창훈 지사장은 “러크 조직이 앵글러를 공개한 이유는 현금 조달을 위해 어쩔 수 없이 내린 결정이었던 것으로 보고 있다”며, “러크의 뱅킹 트로이목마와 앵글러가 다른 점은 전자가 러시아 지역만 위협한 반면, 후자는 전 세계 사용자를 표적으로 한 여러 공격에 이용됐다”고 설명했다.

러크의 부수입 창출원은 앵글러 익스플로잇 키트의 개발과 지원뿐만이 아니었다. 원격 뱅킹 서비스 소프트웨어를 통해 자동으로 돈을 탈취하는 강력한 악성코드 개발에 집중했던 러크 조직은 5년이 넘는 시간 동안 조직의 비즈니스 방향을 수정해 은행 내부 인프라를 잘 아는 전문가를 해킹하고 SIM 카드를 바꿔치기하는 정교한 공격 체계 개발에도 손을 뻗었다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.