2021.04.08

사이버 범죄 조직, 가짜 구인 이메일 통해 백도어 설치…이센타이어

Lucian Constantin | CSO
more_eggs라는 은밀한 백도어의 배후에 있는 범죄 조직이 전문가들의 링크드인(LinkedIn) 프로필 정보를 기반으로 맞춤 제작한 가짜 구인 제안을 이용하고 있다. 이 범죄 조직은 다양한 업종의 기업을 대상으로 공격을 일삼는 FIN6, 이블넘(Evilnum), 코발트 그룹(Cobalt Group) 등의 사이버 범죄 조직에 백도어로 감염된 시스템에 대한 접근 권한을 판매한다.


링크드인 정보를 사용한 스피어피싱

관리형 탐지 및 대응 업체 이센타이어(eSentire)의 연구진이 발견한 최근 공격에서 공격자는 피싱 이메일로 의료 기술 업계에 종사하는 전문가들을 속였다. 이 피싱 메일은 공격 대상 전문가가 자신의 링크드인 프로필 페이지에 올렸던 것과 동일한 일자리를 제안하는 가짜 구인 정보를 포함하고 있었다. 보안 업계에서 골든 치킨스(Golden Chickens)라는 이 범죄 조직은 과거에도 동일한 수법을 사용한 적이 있다.

문제의 이메일에는 제안하는 직책의 이름을 딴 zip 파일이 포함된다. 이 파일을 열면 more_eggs 감염의 첫 단계인 베놈LNK(VenomLNK)라는 악성 구성요소가 시작된다.

이센타이어 팀은 보고서에서 “골든 치킨스는 서비스형 악성코드(MaaS) 형태로 다른 사이버 범죄자들에게 백도어를 판매한다. more_eggs가 피해자의 컴퓨터 시스템에 전개되면 골든 치킨스의 고객은 시스템에 진입해 랜섬웨어, 인증 정보 절도 도구, 뱅킹 악성코드 등 원하는 유형의 악성코드로 감염시키거나 이 백도어를 발판으로 네트워크에 진입해 데이터를 유출할 수 있다”라고 설명했다.

 
감염 체인

피해자 컴퓨터에서 실행된 베놈LNK는 파위셸의 하위 시스템인 윈도우 관리 도구(WMI)를 사용해 공격의 두 번째 단계인 테라로더(TerraLoader)라는 악성코드 로더를 배포한다.

테라로더는 cmstp와 regsvr32, 두 개의 정상적인 윈도우 프로세스를 하이재킹해 최종 페이로드인 테라프리터(TerraPreter)를 로드한다. 아마존 AWS에서 호스팅되는 서버에서 다운로드된 테라프리터는 네트워크 필터를 회피해 액티브X 컨트롤로 배포된다. 액티브X는 인터넷 익스플로러를 통한 코드 실행을 허용하는 프레임워크로, 윈도우에서 네이티브로 지원된다.

테라로더는 정상적인 입사 지원서처럼 보이도록 만들어진 마이크로소프트 워드 문서를 배포하고 연다. 이 문서는 사용자가 이메일 첨부 파일을 연 다음 의심을 하지 않도록 하기 위한 미끼에 불과하다.

테라프리터 페이로드는 공격자의 C&C 서버에 신호를 보내 성공적으로 배포되어 명령을 수신할 준비가 되었음을 알린다. 그러면 공격자는 테라프리터를 사용해 피해자 컴퓨터에 대한 접근 권한을 획득해 플러그인이나 추가 악성코드 페이로드를 배포할 수 있다.

이센타이어 연구진은 “more_eggs는 정상적인 윈도우 프로세스를 악용해 은닉 상태를 유지하면서 스크립트 파일을 통해 이런 프로세스 명령을 공급한다. 또한 이 MaaS를 사용하는 공격 캠페인은 일반적인 맬스팸(malspam) 배포 네트워크에 비해 흔하지 않고 선별적인 특성을 갖는 것으로 보인다”라고 전했다.


골든 치킨스의 강력한 고객들

골든 치킨스는 선별된 유명 공격자에게만 서비스를 제공하는 것으로 보인다. 고객 중에는 최소 2014년부터 활동해 온 악명높은 금융 사이버 범죄 그룹인 FIN6도 포함되어 있을 가능성이 높다. 이 그룹은 물리적인 POS 시스템을 노리는 것으로 유명하며 최근에는 온라인 결제 시스템을 공격해 카드 데이터를 훔쳐 지하 시장에 판매하는 것으로 알려졌다.

FIN6은 몇 년 동안 소매, 환대, 요식 부문의 기업들을 공격해왔고 2019년 전자상거래 기업을 공격하면서 more_eggs 백도어를 사용한 것이 확인됐다. 다국적 기업을 노린 또 다른 2019년 공격에서 FIN6은 기업 직원을 유인하기 위해 이번과 같은 가짜 구인 제안을 피싱 미끼로 사용했다.

more_eggs를 사용하는 것으로 알려진 또 다른 그룹은 이블넘이다. 이블넘은 2018년부터 금융 IT 업체와 증권 거래 플랫폼을 공격하는 그룹으로 알려져 있으며 업계에서는 해커 서비스를 판매하는 용병 그룹으로도 활동하는 것으로 추정한다. 이센타이어에 따르면, 이블넘 공격자는 more_eggs 백도어가 포함된 악성 zip 첨부 파일로 공격 대상 기업의 직원들에게 스피어 피싱을 시도한다.

more_eggs를 사용하는 것으로 보고된 세 번째 사이버 범죄 조직은 코발트 그룹으로, 카바낙(Carbanak)이라고 불리기도 한다. 이 그룹은 은행 및 다른 금융 기관에서 돈을 훔치는 행위를 전문적으로 하며, 치밀한 정찰과 인내심으로 유명하다. 공격을 실행하기에 앞서 네트워크 내에서 몇 개월 동안 맞춤형 애플리케이션과 워크플로우를 분석하기도 한다.

more_eggs를 사용하는 그룹의 유형과 기술 수준을 감안하면 네트워크가 이 백도어에 감염될 경우 매우 심각하게 받아들이고 전면적인 포렌식 조사를 실시해야 한다. 공격자들은 이미 핵심 시스템까지 침투해 더 심각한 공격을 감행할 준비를 하는 중이거나 민감한 정보를 빼내는 중일 수 있다. editor@itworld.co.kr 


2021.04.08

사이버 범죄 조직, 가짜 구인 이메일 통해 백도어 설치…이센타이어

Lucian Constantin | CSO
more_eggs라는 은밀한 백도어의 배후에 있는 범죄 조직이 전문가들의 링크드인(LinkedIn) 프로필 정보를 기반으로 맞춤 제작한 가짜 구인 제안을 이용하고 있다. 이 범죄 조직은 다양한 업종의 기업을 대상으로 공격을 일삼는 FIN6, 이블넘(Evilnum), 코발트 그룹(Cobalt Group) 등의 사이버 범죄 조직에 백도어로 감염된 시스템에 대한 접근 권한을 판매한다.


링크드인 정보를 사용한 스피어피싱

관리형 탐지 및 대응 업체 이센타이어(eSentire)의 연구진이 발견한 최근 공격에서 공격자는 피싱 이메일로 의료 기술 업계에 종사하는 전문가들을 속였다. 이 피싱 메일은 공격 대상 전문가가 자신의 링크드인 프로필 페이지에 올렸던 것과 동일한 일자리를 제안하는 가짜 구인 정보를 포함하고 있었다. 보안 업계에서 골든 치킨스(Golden Chickens)라는 이 범죄 조직은 과거에도 동일한 수법을 사용한 적이 있다.

문제의 이메일에는 제안하는 직책의 이름을 딴 zip 파일이 포함된다. 이 파일을 열면 more_eggs 감염의 첫 단계인 베놈LNK(VenomLNK)라는 악성 구성요소가 시작된다.

이센타이어 팀은 보고서에서 “골든 치킨스는 서비스형 악성코드(MaaS) 형태로 다른 사이버 범죄자들에게 백도어를 판매한다. more_eggs가 피해자의 컴퓨터 시스템에 전개되면 골든 치킨스의 고객은 시스템에 진입해 랜섬웨어, 인증 정보 절도 도구, 뱅킹 악성코드 등 원하는 유형의 악성코드로 감염시키거나 이 백도어를 발판으로 네트워크에 진입해 데이터를 유출할 수 있다”라고 설명했다.

 
감염 체인

피해자 컴퓨터에서 실행된 베놈LNK는 파위셸의 하위 시스템인 윈도우 관리 도구(WMI)를 사용해 공격의 두 번째 단계인 테라로더(TerraLoader)라는 악성코드 로더를 배포한다.

테라로더는 cmstp와 regsvr32, 두 개의 정상적인 윈도우 프로세스를 하이재킹해 최종 페이로드인 테라프리터(TerraPreter)를 로드한다. 아마존 AWS에서 호스팅되는 서버에서 다운로드된 테라프리터는 네트워크 필터를 회피해 액티브X 컨트롤로 배포된다. 액티브X는 인터넷 익스플로러를 통한 코드 실행을 허용하는 프레임워크로, 윈도우에서 네이티브로 지원된다.

테라로더는 정상적인 입사 지원서처럼 보이도록 만들어진 마이크로소프트 워드 문서를 배포하고 연다. 이 문서는 사용자가 이메일 첨부 파일을 연 다음 의심을 하지 않도록 하기 위한 미끼에 불과하다.

테라프리터 페이로드는 공격자의 C&C 서버에 신호를 보내 성공적으로 배포되어 명령을 수신할 준비가 되었음을 알린다. 그러면 공격자는 테라프리터를 사용해 피해자 컴퓨터에 대한 접근 권한을 획득해 플러그인이나 추가 악성코드 페이로드를 배포할 수 있다.

이센타이어 연구진은 “more_eggs는 정상적인 윈도우 프로세스를 악용해 은닉 상태를 유지하면서 스크립트 파일을 통해 이런 프로세스 명령을 공급한다. 또한 이 MaaS를 사용하는 공격 캠페인은 일반적인 맬스팸(malspam) 배포 네트워크에 비해 흔하지 않고 선별적인 특성을 갖는 것으로 보인다”라고 전했다.


골든 치킨스의 강력한 고객들

골든 치킨스는 선별된 유명 공격자에게만 서비스를 제공하는 것으로 보인다. 고객 중에는 최소 2014년부터 활동해 온 악명높은 금융 사이버 범죄 그룹인 FIN6도 포함되어 있을 가능성이 높다. 이 그룹은 물리적인 POS 시스템을 노리는 것으로 유명하며 최근에는 온라인 결제 시스템을 공격해 카드 데이터를 훔쳐 지하 시장에 판매하는 것으로 알려졌다.

FIN6은 몇 년 동안 소매, 환대, 요식 부문의 기업들을 공격해왔고 2019년 전자상거래 기업을 공격하면서 more_eggs 백도어를 사용한 것이 확인됐다. 다국적 기업을 노린 또 다른 2019년 공격에서 FIN6은 기업 직원을 유인하기 위해 이번과 같은 가짜 구인 제안을 피싱 미끼로 사용했다.

more_eggs를 사용하는 것으로 알려진 또 다른 그룹은 이블넘이다. 이블넘은 2018년부터 금융 IT 업체와 증권 거래 플랫폼을 공격하는 그룹으로 알려져 있으며 업계에서는 해커 서비스를 판매하는 용병 그룹으로도 활동하는 것으로 추정한다. 이센타이어에 따르면, 이블넘 공격자는 more_eggs 백도어가 포함된 악성 zip 첨부 파일로 공격 대상 기업의 직원들에게 스피어 피싱을 시도한다.

more_eggs를 사용하는 것으로 보고된 세 번째 사이버 범죄 조직은 코발트 그룹으로, 카바낙(Carbanak)이라고 불리기도 한다. 이 그룹은 은행 및 다른 금융 기관에서 돈을 훔치는 행위를 전문적으로 하며, 치밀한 정찰과 인내심으로 유명하다. 공격을 실행하기에 앞서 네트워크 내에서 몇 개월 동안 맞춤형 애플리케이션과 워크플로우를 분석하기도 한다.

more_eggs를 사용하는 그룹의 유형과 기술 수준을 감안하면 네트워크가 이 백도어에 감염될 경우 매우 심각하게 받아들이고 전면적인 포렌식 조사를 실시해야 한다. 공격자들은 이미 핵심 시스템까지 침투해 더 심각한 공격을 감행할 준비를 하는 중이거나 민감한 정보를 빼내는 중일 수 있다. editor@itworld.co.kr 


X