금융 기관에 랜섬웨어 공격 주로 하던 TA505, 이제 원격 접근 툴 사용
활발한 피싱 캠페인 펼쳐…플로드애미와 리모트 매니퓰레이터 주로 활용

[보안뉴스 문가용 기자] 플로드애미(FlawedAmmyy)와 리모트 매니퓰레이터(Remote Manipulator)라는 원격 접근 툴을 활용한 피싱 캠페인이 현재 대단위로 진행되고 있다. 해킹 그룹인 TA505가 가장 유력한 용의자로 꼽히고 있다.


이 피싱 캠페인 자체에는 파이드 파이퍼(Pied Piper)라는 이름이 붙어 있는데, 현재 유명한 음식 체인점들인 고디바 초콜릿(Godiva Chocolates), 요거트랜드(Yogurtland), 핑크베리(Pinkberry) 등을 표적으로 삼고 있다고 한다. 이에 대해 고발한 건 보안 업체 모피섹(Morphisec)으로, CTO인 마이클 고렐릭(Michael Gorelik)이 얼마 전 블로그를 통해 밝혔다. “C&C 서버를 추적해 무력화시키지 않는 이상 공격 표적은 계속해서 확대될 것으로 보입니다.”

TA505는 은행권을 멀웨어와 랜섬웨어로 공격하는 것이 주특기인 그룹이다. 하지만 최근 들어 원격 접근 툴에 큰 관심을 보이기 시작했으며, 이에 대해서는 또 다른 보안 업체 프루프포인트(Proofpoint)도 보고서를 발표하며 증언한 바 있다. 당시 TA505는 tRAT이라고 불리는 원격 접근 툴을 사용하고 있었다고 한다.

TA505의 tRAT 공격 당시 발견된 또 다른 원격 접근 툴 중에는 애미 어드민(Ammyy Admin)이란 것이 있었다. 애미 어드민은 여러 피싱 공격에서도 발견된 바 있는 인기 높은 원격 접근 툴이다. 이번에 발견된 파이드 파이퍼 캠페인에서도 애미 어드민이 MS 오피스 문서로 배포되고 있었다고 한다. 이 악성 문서를 받은 사용자들이 문서를 열고 매크로를 활성화시키면 감염이 시작되며, 파이프 파이퍼 캠페인에서 제일 많이 발견되는 건 .pub 파일이라고 한다.

매크로 활성화까지 성공하면 무슨 일이 일어날까? “먼저 작업 스케줄을 조작합니다. 다음 단계 공격을 작업 스케줄을 통해 감행하는 것이죠. 이를 통해 백신 소프트웨어를 피하려는 것입니다. 이런 식으로 파워셸 명령이 실행되는데요, MSI 인스톨러를 다운로드 받는 것입니다. 이 인스톨러가 실행되면 또 다른 다운로더가 실행파일 형태로 생성됩니다. 이름은 MYEXE이죠. MYEXE는 시스템을 검색해서 백신 솔루션을 확인하고, 주력 페이로드를 임시 파일 형태로 다운로드 받습니다.”

모피섹은 이렇게 해서 등장한 원격 접근 툴에서 서명된 인증서를 발견했고, 이를 추적해 리모트 매니퓰레이터를 사용하고 있는 공격 그룹에까지 도달했다. “리모트 매니퓰레이터를 동원한 피싱 캠페인은 벌써 한 달도 넘게 진행되고 있었는데, 이들이 애미 어드민까지 사용하고 있었던 것입니다.” 고렐릭의 설명이다.

고렐릭은 “애미 어드민 혹은 플로드애미는 공격자들이 피해자의 시스템을 거의 완전히 장악하게 해주는 원격 접근 툴”이라며 “파일과 크리덴셜을 훔치고, 스크린샷을 찍고, 카메라 기능과 마이크로폰에도 접근할 수 있게 된다”고 설명한다. 또한 네트워크 내에서 횡적으로 움직이는 것도 가능하며, 따라서 대규모 공급망 공격으로도 이어질 수 있다고 덧붙이기도 했다.

모피섹은 추적을 계속해 2주전 스페인 사용자들을 집중적으로 노린 피싱 캠페인도 이번 캠페인과 연관성이 있음을 밝혀내기도 했다. 또한 그 외 “아직 이름을 밝힐 수 없는” 나라의 국민들을 겨냥한 피싱 공격도 진행 중이라고 말했다.

3줄 요약
1. 은행권 주로 공격하던 사이버 갱단, TA505.
2. 최근 원격 접근 툴에 관심 갖기 시작하면서 유명 음식 체인 노리기 시작.
3. 플로드애미와 리모트 매니퓰레이터라는 원격 접근 툴이 현재 이들의 주력 무기.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>