최신 버전, 일본 은행 17군데 노리고 공격...기존 버전과 크게 다르지 않아
일본 금융권 노린 사이버 공격 최근 빈번해져...일본, 안전하지 않아

[보안뉴스 문가용 기자] 팬더 뱅커(Panda Banker)라고 알려진 뱅킹 트로이목마가 현재 일본의 금융 기관들을 노리고 있다는 소식이다. 팬더 뱅커가 일본에 등장한 것은 처음 있는 일이라고 한다.


팬더 뱅커는 팬더 제우스(Panda Zeus)라는 이름으로도 알려져 있으며, 2016년부터 활동한 것으로 보인다. 제우스(Zeus)라는 악명 높았던 뱅킹 트로이목마의 소스코드가 유출되면서 등장한 변종의 하나다. 그 동안 여러 캠페인에 활용되었으며, 멀웨어 배포를 위해 구글 검색결과를 포이즈닝한 공격에도 이 팬더 제우스가 있었다.

팬더 제우스는 웹인젝트 혹은 브라우저를 통한 중간자 공격을 통해 사용자의 크리덴셜을 훔쳐내는 것을 주요 기능으로 가지고 있다. 또한 지난 2년여 기간 동안 꾸준한 업데이트를 받기도 했다.

팬더 뱅커는 지하 포럼에서 키트 형태로 판매되기도 한다. 이 말은 보통 사용자가 꽤나 많다는 뜻이 된다. 실제로 팬더 뱅커는 여러 나라에서 발견된 바 있다. 팬더 뱅커로 훔친 크리덴셜이 실제 각종 금전 사기 형태로 나타났다. 초반 주요 피해 국가는 이탈리아, 호주, 독일, 미국, 영국이었다.

최근 일본에서 발견된 팬더 뱅커의 버전은 2.6.6이다. 이전 버전들과 크게 다르지 않다고, 이를 분석한 보안 업체 아버 네트웍스는 설명한다. “사실상 크게 바뀐 건 없습니다. 활동지 목록에 일본이 들어갔다는 것이 가장 큰 차이겠죠. 또 하나 다른 건 이전 버전의 침해지표와 지금의 침해지표가 상이하다는 겁니다.”

현재 팬더 뱅커는 악성 광고를 만들어 사용자들을 감염시키고 있다. 감염에 사용되는 건 리그(RIG)라는 익스플로잇 킷으로, 결국 리그에 감염된 시스템은 팬더 뱅커의 최종 페이로드를 다운로드받게 된다.

공격자들은 C&C 서버를 위해 여러 개의 도메인을 사용하고 있다. 그러나 사실상 현재까지 작동 중에 있는 것은 하나 뿐이었다. 이는 페트로프 바딤(Petrov Vadim)이라는 이름으로 등록되어 있으며, yalapinziw@mail.ru라는 이메일 주소와 연결되어 있었다.

팬더 뱅커가 공격을 시도한 일본의 은행은 총 17군데다. 그 외에는 미국의 은행 10군데에서도 팬더 뱅커의 공격이 탐지됐다. 은행 외 공격에 당하거나 중간 경로로 활용된 곳은 검색 엔진 네 개와 소셜 미디어 사이트 두 곳, 이메일 사이트 한 곳, 영상 검색 엔진 하나, 온라인 쇼핑 웹사이트 한 곳, 성인 콘텐츠 공유 사이트 한 곳이었다.

웹인젝트 형태로 공격이 들어가는 경우, 풀 인포 그래버(Full Info Grabber)라는 자동화 전송 시스템(ATS)을 통해 사용자 크리덴셜과 계정 정보를 훔쳐갔다고 아버 네트웍스는 밝힌다.

또한 아버는 “일본 금융권에 대한 사이버 공격 소식이 점점 늘어나고 있다”며 “그 동안 사이버 공격이라는 측면에서 일본은 비교적 평화로운 나라였는데, 이제는 그렇게 보기 힘들다”고도 말했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>