청호PENTEST - Professional Penetration Testing Company

Select Language
‘아누낙’이나 ‘카르바낙’으로도 불리는 FIN7, 공격 재개한 듯
LNK 또는 CMD 파일 삽입된 OLE 활용, 공격 수법 업그레이드


악명 높은 국제 사이버 범죄 조직 FIN7이 또 다시 공격 수법을 바꾼 것으로 보인다. FIN7은 객체 연결 삽입(OLE: Object Linking and Embedding) 기술을 이용, 워드 문서에 링크 파일(LNK file)을 삽입해 멀웨어를 배포하기 시작한 것으로 추정된다. 즉, 파일리스 감염 수법을 쓰기 시작했다는 뜻이다.

[이미지=iclickart]


FIN7 은 아누낙(Anunak) 또는 카르바낙(Carbanak)이라고도 불리는 해커 조직으로, 2015년 말 최초로 포착된 이래 30개국 이상 100곳이 넘는 은행을 공격하고 2년 간 10억 달러의 이익을 거두는 등 악명이 자자하다. 또한, FIN7은 탐지를 피해기 위해 공격 툴과 전술을 자주 바꾸는 것으로도 알려져 있다.

네트워크 보안 전문 업체 ICEBRG는 8일 블로그를 통해 FIN7이 탐지를 피하려고 새로운 기술을 도입한 흔적을 발견했다고 밝혔다. 이전 버전에서 FIN7은 주로 악성 링크 파일이나 비주얼 베이직 스크립트(VBS 또는 VBE)를 활용해 코드를 실행시켰다. 그러나 최근 발견된 버전에서 이들은 링크 파일이 삽입된 OLE를 활용하는 것부터 CMD 파일이 삽입된 OLE를 활용하는 데까지 나아간 것으로 나타났다.

최신 버전의 공격이 실행될 경우, CMD 파일은 현재 사용자의 홈 디렉토리 아래 위치한 ‘tt.txt’ 파일에 J스크립트(JScript)를 작성한다. 그런 다음, 이 배치 스크립트는 동일한 홈 디렉토리 아래 있는 ‘pp.txt’에 스스로를 복제하고 해당 파일의 J스크립트 엔진을 사용해 W스크립트(WScript)를 작동시킨다. 이후, J스크립트 코드는 ‘pp.txt’ 파일을 읽어 들이게 된다.

ICEBRG는 CMD와 링크 파일 모두 코드 실행을 초래한다는 점에서 같지만 CMD 파일을 더 많이 사용하는 이유는 탐지를 피하기 위해서라고 설명했다.

게 다가 FIN7은 공격 역량을 높이고 탐지 위험을 낮추기 위해 백도어 ‘하프베이크드(Half Baked)’를 지속적으로 업그레이드 해왔는데, ICEBRG 연구진은 하프베이크드의 난독화 전략에서도 미묘한 변경이 나타났다고 짚었다. 이전에 하프베이크드는 ‘srcTxt’라고 불리는 문자열 배열 변수에 저장된 Base64 인코딩을 활용했으나 지금의 하프베이크드는 그 이름 자체를 난독화하고 Base64 문자열을 배열 내 다중의 문자열로 계속해서 쪼개버린다는 것이다.

ICEBRG는 FIN7의 적응력이 매우 뛰어난 데다 탐지 메커니즘을 우회하는 능력도 갖췄다며 수많은 소매 업체들이 공격을 받을 수 있다고 경고했다. FIN7은 다양한 피싱 수법을 사용해 레스토랑 등 소매 업체들을 공격한 전력이 있다.
번호 제목 닉네임 조회 등록일
6795 CVE-2016-9263 外
[레벨:30]관리자
2 2017-10-16
6794 6.25 사이버테러의 데자뷔? 똑같은 해킹 화면이 등장했다
[레벨:30]관리자
2 2017-10-16
6793 ‘유빗’으로 간판 바꾼 가상화폐 거래소 야피존, 계정탈취·해킹 시도 계속
[레벨:30]관리자
3 2017-10-16
6792 휴대전화 랜섬웨어 감염시키면서 PIN 번호까지 바꾸는 ‘더블락커’
[레벨:30]관리자
2 2017-10-16
6791 인도네시아 해커들, 한국 홈피 60여곳 또 디페이스 공격
[레벨:30]관리자
2 2017-10-16
6790 러시아, NATO 부대 개인휴대폰 해킹공격
[레벨:30]관리자
6 2017-10-13
6789 FormBook 악성코드, 한국과 미국 항공우주•군수업체 등 공격
[레벨:30]관리자
6 2017-10-13
6788 북한 해커들, 군사 첩보 목적으로 미국 전기회사 여러 곳 해킹했다
[레벨:30]관리자
7 2017-10-13
6787 CVE-2017-8025 外
[레벨:30]관리자
6 2017-10-13
6786 아파치 톰캣 신규 취약점 주의…웹쉘 업로드 피해 발생 우려
[레벨:30]관리자
7 2017-10-12
6785 확장자를 asasin으로 변경하는 Locky 랜섬웨어 변종 확산...주의
[레벨:30]관리자
7 2017-10-12
Selected 국제 사이버 범죄 조직 FIN7, 공격 수법 한 번 더 업그레이드 했다
[레벨:30]관리자
7 2017-10-12
6783 공직자통합메일 사칭 피싱 또 발견...공무원 인증서 탈취 노렸다
[레벨:30]관리자
7 2017-10-12
6782 CVE-2017-15232 外
[레벨:30]관리자
8 2017-10-12
6781 북한, 미국 전기 회사들 해킹 공격했다
[레벨:30]관리자
5 2017-10-12
6780 Locky 랜섬웨어 변종 발견돼…스팸메일 주의
[레벨:30]관리자
7 2017-10-11
6779 54만대 차량 추적장치내 세부정보, 온라인에 유출 돼
[레벨:30]관리자
7 2017-10-11
6778 페덱스, NotPetya 랜섬웨어 공격으로 3천400억원 손실
[레벨:30]관리자
10 2017-10-11
6777 국가 지원 해킹 조직들간 사이버 스파이 전쟁 치열
[레벨:30]관리자
11 2017-10-11
6776 추석연휴 기간 동안 네이버 피싱 공격 들끓어
[레벨:30]관리자
7 2017-10-11
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X