네커스 봇넷에서 시작된 캠페인의 주력 무기, 트릭봇
이모텟이란 멀웨어도 활동 중...범죄자들의 협력 구조 눈여겨봐야

[보안뉴스 문가용 기자] 네커스 봇넷이 트릭봇(Trickbot)이라는 뱅킹 트로이목마를 미국 금융 기관들에 퍼트리고 있다. 금융 산업을 겨냥한 대규모 공격이 물밑에서 이뤄지고 있는 것으로 의심된다. 트릭봇은 밴인더브라우저(MitB) 공격에 활용되는 멀웨어로 2016년부터 발견되어 왔다. 다만 미국이라는 영토 바깥에 있는 조직들만을 표적 삼아 왔었다. 표적이 달라졌다는 건 공격 원리나 전략이 수정되었다는 걸 의미한다.


최근의 트릭봇을 발견한 건 보안 업체인 플래시포인트(Flashpoint)다. 7월 17일 mac1이라는 이름의 스팸 캠페인이 진행되고 있는 걸 발견했는데, 그 캠페인의 주력 무기가 트릭봇이었던 것이다. 추적을 한 끝에 네커스 봇넷이 멀웨어를 퍼트리는 거대한 원동력임을 알아냈다. “미국의 50개 은행과 13개 금융 기업들이 공격을 당했더군요.” 네커스 봇넷은 2012년에 등장한 스팸 봇넷으로 전 세계에서 가장 큰 봇넷 중 하나다.

“스팸 이메일을 대량으로 쏟아내는 봇넷이 바로 네커스입니다. 물론 스팸 이메일말고도 각종 멀웨어도 퍼트리고 랜섬웨어도 퍼트리고 디도스 공격용 트래픽도 발생시키는 게 봇넷이죠. 이번에 네커스가 탑재시킨 게 트릭봇이고요.” 플래시포인트의 폴 버베이지(Paul Burbage)가 설명한다. 지난 2년 동안 네커스만 집중적으로 추적해온 전문가다.

Mac1에 당한 기업들은 주로 미국의 금융기관들이지만 다른 국가라고 해서 무사한 건 아니다. 현재까지 영국, 뉴질랜드, 프랑스, 호주, 노르웨이, 스웨덴, 아이슬란드, 캐나다, 핀란드, 스페인, 이탈리아, 룩셈부르크, 스위스, 싱가포르, 벨기에, 덴마크에서도 mac1의 흔적이 발견되었다고 한다.

Mac1 캠페인은 적어도 세 가지 단계를 거쳐 트릭봇을 침투시킨다고 플래시포인트는 설명한다. “첫 번째는 HTML 이메일인데, 호주의 통신사가 보낸 영수증으로 위장한 것입니다. 이 이메일에는 Zip으로 압축된 윈도우 스크립트 파일이 첨부되어 있는데요, 이 첨부파일을 클릭하면 트릭봇 로더가 다운로드 되고 실행됩니다. 그리고 이 로더는 트릭봇을 다운로드받지요.”

트릭봇 공격으로 공격자들은 정확히 뭘 노리는 것일까? “계정을 가로채거나 금융 사기 범죄를 저지르는 게 가장 큰 목적입니다. 멀웨어가 빠르고 넓게 퍼지면 퍼질수록 관련된 신고가 많이 들어올 것으로 보입니다.” 그리고 실제 미국 내에서 트릭봇이 퍼지고 있는 속도가 상당히 빠른 편이라고 그는 설명한다.

또한 현재까지야 주로 금융 기관이나 은행을 주로 노리는 것으로 나타났지만, 다른 산업도 충분히 노릴 수 있을만한 공격이라는 데에 주목해야 한다고 전문가들은 설명한다. “트릭봇이 업그레이드 되어 다른 기능을 탑재하던가, 아니면 네커스가 다른 멀웨어를 가지고 나타날 수도 있습니다. 가능성은 무궁무진한데, 하필 지금 이 순간에는 은행을 노리고 있는 것이지요.” 플래시포인트의 연구 책임자인 비탈리 크레메즈(Vitali Kremez)의 설명이다.

“트릭봇 뒤에 있는 공격자들의 그 정교함과 기술력, 자원의 풍부함에 놀라움을 금치 못하고 있습니다. 가장 먼저는 네커스 봇넷을 활용한다는 것 자체가 이들이 얼마나 대단한 기술을 갖추고 있는지를 드러내죠. 네커스가 아무나 사용하는 게 아니거든요. 네커스 뒤에 있는 해커들도 정말 부지런해요. 항상 자신들이 보유한 자원을 최대한 활용할 방법을 모색하고 새로운 것을 가지고 나타나죠.”

트릭봇은 다이어(Dyre)라는 이름으로 활동했었던 뱅킹 트로이목마의 후예로 추정된다. 크레메즈는 그 두 멀웨어의 인프라와 설정 상태 등이 매우 흡사하다고 설명하며 트릭봇 멀웨어의 제작자가 다이어 멀웨어 제작에도 참여했거나, 혹은 동인인물일 가능성이 높다고 보고 있다. 다이어 멀웨어는 주로 미국, 영국, 캐나다의 금융 산업을 노리던 것으로 유명했다.

한편 또 다른 보안업체 피델리스 사이버시큐리티(Fidelis Cybersecurity)는 금융 산업을 겨냥한 또 다른 멀웨어를 발견했다고 발표했다. 이름은 이모텟(Emotet)으로 기본적으로는 로더의 일종이며 원래는 크리덴셜을 훔치려는 목적으로 활용되었으나 또 다른 뱅킨 트로이목마를 ‘배달’하는 것에도 활용되고 있다고 한다.

이모텟 역시 대단위 스팸 이메일 캠페인을 통해 퍼지며, 기본적인 소셜 엔지니어링 기술을 기반으로 하고 있다고 한다. 특이한 건 내부 네트워크 내에서 자동으로 증식하는 ‘웜’ 기능까지도 가지고 있다는 건데, 이는 뱅킹 멀웨어 제작자들이 즐겨 사용하는 전략은 아니다. 적어도 최근에는 말이다.

피델리스의 위협 시스템 책임자인 존 밤베넥(John Bambenek)은 “기존의 뱅킹 멀웨어들은 기술적으로도 거칠었고 그저 최대한 많은 시스템을 오염시키는 것을 목적으로 했지만 요즘 발견되는 것들에서는 인젝트(inject)를 활용해 특정 은행의 분위기와 구조에 맞게 ‘맞춤형’으로 변모하려는 시도가 엿보인다”고 설명한다.

“또한 범죄 시장의 다변화 역시 눈에 띕니다. 익스플로잇 전문가, 멀웨어 배포 시스템 전문가, 인젝트 전문가, 돈 운반 전문가 등이 협업을 하는 구조로 하는 ‘프로젝트성’ 범죄가 자주 일어나요. 그러니 이게 발전이 더 빨라지고 유연해지고 있는 겁니다. 알파베이 같은 곳에서 이런 전문가들이 뭉치게 되는 것이죠.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>