‘아누낙’이나 ‘카르바낙’으로도 불리는 FIN7, 공격 재개한 듯
LNK 또는 CMD 파일 삽입된 OLE 활용, 공격 수법 업그레이드

[보안뉴스 오다인 기자] 악명 높은 국제 사이버 범죄 조직 FIN7이 또 다시 공격 수법을 바꾼 것으로 보인다. FIN7은 객체 연결 삽입(OLE: Object Linking and Embedding) 기술을 이용, 워드 문서에 링크 파일(LNK file)을 삽입해 멀웨어를 배포하기 시작한 것으로 추정된다. 즉, 파일리스 감염 수법을 쓰기 시작했다는 뜻이다.


FIN7은 아누낙(Anunak) 또는 카르바낙(Carbanak)이라고도 불리는 해커 조직으로, 2015년 말 최초로 포착된 이래 30개국 이상 100곳이 넘는 은행을 공격하고 2년 간 10억 달러의 이익을 거두는 등 악명이 자자하다. 또한, FIN7은 탐지를 피해기 위해 공격 툴과 전술을 자주 바꾸는 것으로도 알려져 있다.

네트워크 보안 전문 업체 ICEBRG는 8일 블로그를 통해 FIN7이 탐지를 피하려고 새로운 기술을 도입한 흔적을 발견했다고 밝혔다. 이전 버전에서 FIN7은 주로 악성 링크 파일이나 비주얼 베이직 스크립트(VBS 또는 VBE)를 활용해 코드를 실행시켰다. 그러나 최근 발견된 버전에서 이들은 링크 파일이 삽입된 OLE를 활용하는 것부터 CMD 파일이 삽입된 OLE를 활용하는 데까지 나아간 것으로 나타났다.

최신 버전의 공격이 실행될 경우, CMD 파일은 현재 사용자의 홈 디렉토리 아래 위치한 ‘tt.txt’ 파일에 J스크립트(JScript)를 작성한다. 그런 다음, 이 배치 스크립트는 동일한 홈 디렉토리 아래 있는 ‘pp.txt’에 스스로를 복제하고 해당 파일의 J스크립트 엔진을 사용해 W스크립트(WScript)를 작동시킨다. 이후, J스크립트 코드는 ‘pp.txt’ 파일을 읽어 들이게 된다.

ICEBRG는 CMD와 링크 파일 모두 코드 실행을 초래한다는 점에서 같지만 CMD 파일을 더 많이 사용하는 이유는 탐지를 피하기 위해서라고 설명했다.

게다가 FIN7은 공격 역량을 높이고 탐지 위험을 낮추기 위해 백도어 ‘하프베이크드(Half Baked)’를 지속적으로 업그레이드 해왔는데, ICEBRG 연구진은 하프베이크드의 난독화 전략에서도 미묘한 변경이 나타났다고 짚었다. 이전에 하프베이크드는 ‘srcTxt’라고 불리는 문자열 배열 변수에 저장된 Base64 인코딩을 활용했으나 지금의 하프베이크드는 그 이름 자체를 난독화하고 Base64 문자열을 배열 내 다중의 문자열로 계속해서 쪼개버린다는 것이다.

ICEBRG는 FIN7의 적응력이 매우 뛰어난 데다 탐지 메커니즘을 우회하는 능력도 갖췄다며 수많은 소매 업체들이 공격을 받을 수 있다고 경고했다. FIN7은 다양한 피싱 수법을 사용해 레스토랑 등 소매 업체들을 공격한 전력이 있다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>