• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버 공격자들 간에도 공동 작전이 펼쳐진다? 2018.06.01

초근 두 가지 봇넷에서 협력하는 정황 포착돼...새로운 추세 의심돼
하나가 감염 통로 되고, 다른 하나가 이득 최대화...장기적 시너지 보여

[보안뉴스 문가용 기자] 공격자들 간 새로운 트렌드가 발견된 듯한 소식이다. 여태까지 별개로 활동하던 뱅킹 봇넷 운영자들이 협력을 한 것으로 보인다는 내용이다. 보안 업체 플래시포인트(Flashpoint)가 발표한 바에 따르면 트릭봇(Trickbot)과 아이스드아이디(IcedID) 봇넷 운영자들이 공동 작전을 펼쳐 일부 은행들을 공격했다고 한다.

[이미지 = iclickart]


‘공동 작전’은 사이버 범죄 계통에서는 매우 드문 현상이다. 보통 해킹 범죄자들은 라이벌 관계를 유지하며, 자기가 공격한 시스템에 다른 사람의 멀웨어나 공격 흔적이 발견되면 이를 불능으로 만든 후 자기가 할 일을 한다. 다크웹에서 범죄자들끼리 벌이는 사기 행각이 빈번하게 발생한다고도 한다.

“이렇게 협력 관계가 범죄자들 사이에서 이뤄진다는 것은, 자기들끼리의 친밀함이나 순수한 도움 제공을 위해서라기보다 이윤을 적당히 나누는 데 동의를 했다는 뜻일 가능성이 높습니다. 그냥 지인들끼리 하는 게 아니라 계약 관계로 인한 것이었고, 이것이 선례로 남는다면 앞으로 범죄자들 사이에서 협업이 더 일어날 가능성이 높습니다.” 플래시포인트의 연구 책임자인 비탈리 크레메즈(Vitali Kremez)의 설명이다.

플래시포인트가 이러한 추측을 하게 된 건 아이스드아이디에 감염된 컴퓨터가 트릭봇 뱅킹 트로이목마를 다운로드 받는 걸 목격했기 때문이다. 아이스드아이디는 지난 4월에 발견된 은행 멀웨어로 트로이목마로, 스팸 이메일을 통해 대량으로 퍼지고 있었다. 금융기관은 물론 도소매 업자들과 기술 기업들도 아이스드아이디에 당했다.

여태까지 아이스드아이디는 이모텟(Emotet)이라는 다운로더를 통해 시스템을 감염시켰다. 하지만 그 공격법이 최근 바뀌었다고 플래시포인트는 말한다. “갑자기 스팸 메일로 아이스드아이디가 곧장 전송되기 시작했습니다. 그래서 누군가 아이스드아이드를 설치하면 트릭봇이라는 또 다른 뱅킹 멀웨어가 다운로드 되고요. 즉 아이스다아이디가 다운로더 역할을 하고 있는 겁니다.”

“아이스드아이디는 뱅킹 멀웨어이긴 했지만 원래 추가 멀웨어를 설치하는 기능을 가지고 있었습니다. 감염시킨 시스템에 최대한 오래 머무르는 것도 주요 기능 중 하나였고요. 반면 트릭봇은 다양한 모듈로 구성된 뱅킹 멀웨어로 다양한 산업을 노리고 공격하는 게 가능했습니다. 트릭봇에 감염되면 공격자들은 계정 하이재킹부터 암호화폐 채굴까지 다양한 공격을 수행했습니다.” 크레메즈의 설명이다.

트릭봇은 다이어(Dyre)라는 뱅킹 멀웨어의 뒤를 잇는 멀웨어인 것으로 보이며, 크리덴셜 탈취, 암호화폐 채굴, 봇넷 증식 등 다양한 기능을 가지고 있다. 공격자들이 유연하게 움직일 수 있도록 해주는 멀웨어라고 볼 수 있다.

플래시포인트는 “이러한 두 가지 봇넷이 합쳐짐으로써 아이스드아이디와 트릭봇의 공격자는 엄청난 시너지를 얻게 됐다”고 말한다. “아이스드아이디가 미리 감염시킨 시스템으로부터 크리덴셜을 훔친다거나 계정을 탈취하고 채굴도 할 수 있게 되죠. 아이스드아이디가 통로가 되어주면, 트릭봇이 더 많은 방법의 수익 창구를 마련해주는 겁니다.”

플래시포인트가 여태까지 밝혀낸 공동 범행 절차는 다음과 같다.
1) 트릭봇과 아이스드아이디 멀웨어에 시스템을 감염시킨다.
2) 피해자가 특정 은행 계좌로 로그인 하는 것이 포착되면 봇마스터들이 로그인 크리덴셜을 훔친다. 그 정보는 물론 여러 정보들을 서로 공유한다.
3) 공유를 받은 범행 단체는 그 정보를 가지고 피해자 계정에 접속한다.
4) 그리고 가짜 계좌로 돈을 송금한 후 자금 운반책들이 이 돈을 인출하도록 한다.
5) 가짜 계좌는 표적이 된 피해자와 같은 지역의 같은 은행인 경우가 많다.

아이스드아이디는 현재 은행의 계좌 탈취에 좀 더 집중하고 있는 모양새이고, 트릭봇은 이득을 최대화하기 위한 각종 모듈을 투입시키고 있다. 또한 침해한 시스템마다 어떤 세력의 공인지를 명확히 표기해 차후 이득 분배 시 참고한다고도 한다. 플래시포인트는 “이러한 협력 구조가 꽤나 합리적이 명확해 보여 당분간 이 관계가 이어질 가능성이 높다”라고 결론지었다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>