청호PENTEST - Professional Penetration Testing Company

Select Language
조회 수 : 1
2018.12.06 (09:14:10)
금융 기관에 랜섬웨어 공격 주로 하던 TA505, 이제 원격 접근 툴 사용
활발한 피싱 캠페인 펼쳐…플로드애미와 리모트 매니퓰레이터 주로 활용


플로드애미(FlawedAmmyy)와 리모트 매니퓰레이터(Remote Manipulator)라는 원격 접근 툴을 활용한 피싱 캠페인이 현재 대단위로 진행되고 있다. 해킹 그룹인 TA505가 가장 유력한 용의자로 꼽히고 있다.

[이미지 = iclickart]


이 피싱 캠페인 자체에는 파이드 파이퍼(Pied Piper)라는 이름이 붙어 있는데, 현재 유명한 음식 체인점들인 고디바 초콜릿(Godiva Chocolates), 요거트랜드(Yogurtland), 핑크베리(Pinkberry) 등을 표적으로 삼고 있다고 한다. 이에 대해 고발한 건 보안 업체 모피섹(Morphisec)으로, CTO인 마이클 고렐릭(Michael Gorelik)이 얼마 전 블로그를 통해 밝혔다. “C&C 서버를 추적해 무력화시키지 않는 이상 공격 표적은 계속해서 확대될 것으로 보입니다.”

TA505는 은행권을 멀웨어와 랜섬웨어로 공격하는 것이 주특기인 그룹이다. 하지만 최근 들어 원격 접근 툴에 큰 관심을 보이기 시작했으며, 이에 대해서는 또 다른 보안 업체 프루프포인트(Proofpoint)도 보고서를 발표하며 증언한 바 있다. 당시 TA505는 tRAT이라고 불리는 원격 접근 툴을 사용하고 있었다고 한다.

TA505 의 tRAT 공격 당시 발견된 또 다른 원격 접근 툴 중에는 애미 어드민(Ammyy Admin)이란 것이 있었다. 애미 어드민은 여러 피싱 공격에서도 발견된 바 있는 인기 높은 원격 접근 툴이다. 이번에 발견된 파이드 파이퍼 캠페인에서도 애미 어드민이 MS 오피스 문서로 배포되고 있었다고 한다. 이 악성 문서를 받은 사용자들이 문서를 열고 매크로를 활성화시키면 감염이 시작되며, 파이프 파이퍼 캠페인에서 제일 많이 발견되는 건 .pub 파일이라고 한다.

매크로 활성화까지 성공하면 무슨 일이 일어날까? “먼저 작업 스케줄을 조작합니다. 다음 단계 공격을 작업 스케줄을 통해 감행하는 것이죠. 이를 통해 백신 소프트웨어를 피하려는 것입니다. 이런 식으로 파워셸 명령이 실행되는데요, MSI 인스톨러를 다운로드 받는 것입니다. 이 인스톨러가 실행되면 또 다른 다운로더가 실행파일 형태로 생성됩니다. 이름은 MYEXE이죠. MYEXE는 시스템을 검색해서 백신 솔루션을 확인하고, 주력 페이로드를 임시 파일 형태로 다운로드 받습니다.”

모피섹은 이렇게 해서 등장한 원격 접근 툴에서 서명된 인증서를 발견했고, 이를 추적해 리모트 매니퓰레이터를 사용하고 있는 공격 그룹에까지 도달했다. “리모트 매니퓰레이터를 동원한 피싱 캠페인은 벌써 한 달도 넘게 진행되고 있었는데, 이들이 애미 어드민까지 사용하고 있었던 것입니다.” 고렐릭의 설명이다.

고렐 릭은 “애미 어드민 혹은 플로드애미는 공격자들이 피해자의 시스템을 거의 완전히 장악하게 해주는 원격 접근 툴”이라며 “파일과 크리덴셜을 훔치고, 스크린샷을 찍고, 카메라 기능과 마이크로폰에도 접근할 수 있게 된다”고 설명한다. 또한 네트워크 내에서 횡적으로 움직이는 것도 가능하며, 따라서 대규모 공급망 공격으로도 이어질 수 있다고 덧붙이기도 했다.

모피섹은 추적을 계속해 2주전 스페인 사용자들을 집중적으로 노린 피싱 캠페인도 이번 캠페인과 연관성이 있음을 밝혀내기도 했다. 또한 그 외 “아직 이름을 밝힐 수 없는” 나라의 국민들을 겨냥한 피싱 공격도 진행 중이라고 말했다.
번호 제목 닉네임 조회 등록일
7773 NSHC 해킹그룹 분석 보고서 공개 "북한 정부 지원 해킹그룹의 한국내 활동은..." 새 글
[레벨:30]관리자
  2018-12-13
7772 유명 리눅스 커뮤니티, 핵티비스트의 디페이스 공격 받아 새 글
[레벨:30]관리자
  2018-12-13
7771 중국 당국 “11월 바이러스 감염 컴퓨터 127만대” 새 글
[레벨:30]관리자
  2018-12-13
7770 2018년 암호 화폐 채굴 광풍의 원인은 불법 소프트웨어와 컨텐츠 무단 설치
[레벨:30]관리자
1 2018-12-12
7769 오픈SSH 공격하는 새 멀웨어, 12종이나 무더기로 발견
[레벨:30]관리자
  2018-12-12
7768 10가지 취약점 공략해 웜처럼 번지는 럭키 랜섬웨어
[레벨:30]관리자
  2018-12-12
7767 공습경보! 비너스락커 랜섬웨어 조직의 악성 문서파일 융단폭격
[레벨:30]관리자
  2018-12-12
7766 비너스락커 랜섬웨어 조직, 한국에 악성 문서파일 대량 살포 중...주의
[레벨:30]관리자
  2018-12-11
7765 북한 해커들, 여러 학술 단체들 노리고 5월부터 공격
[레벨:30]관리자
1 2018-12-11
7764 아파치 취약점 이용한 공격 포착!
[레벨:30]관리자
  2018-12-10
7763 "암호화폐 거래소 해킹 피해금액 1천118억원 규모...공격자 추적해보니..."
[레벨:30]관리자
4 2018-12-07
7762 “당신이 즐겨보던 성인사이트 알고 있다” 혹스 메일 주의보
[레벨:30]관리자
1 2018-12-07
7761 "2019년, 기존 방어 체계로 대응 어려운 복합•지능적 공격 증가할 것"
[레벨:30]관리자
1 2018-12-06
7760 2019년 주목해야 할 7대 사이버 공격 전망
[레벨:30]관리자
1 2018-12-06
7759 11월 가장 빈번했던 사이버공격 유형 5가지
[레벨:30]관리자
3 2018-12-06
7758 갠드크랩 랜섬웨어, 새로운 버전 등장! 국내 강타하나
[레벨:30]관리자
1 2018-12-06
Selected 은행권 노리던 TA505 해킹 그룹, 최근 음식 체인 공격
[레벨:30]관리자
1 2018-12-06
7756 올해 백도어, 랜섬웨어, 제로데이, 모두 늘어났다
[레벨:30]관리자
  2018-12-06
7755 모질라, DNS 통신을 암호화시키는 DoH 적용 실험 중
[레벨:30]관리자
  2018-12-05
7754 정보탈취용 악성코드 이모텟, 스팸메일 통해 유포
[레벨:30]관리자
  2018-12-04
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X