금융 조직 주로 노리던 단체가 왜 갑자기 통신사 노릴까?
핀 코드 채취하는 것으로 보아 심 스왑 공격에 관심 생긴 듯

[보안뉴스 문가용 기자] 악명 높은 봇넷 멀웨어인 트릭봇(TrickBot)의 배후에 있는 공격자들이 모바일 사용자들로부터 핀(PIN) 코드를 훔치는 새로운 기능을 트릭봇에 추가했다고 한다. 이러한 내용을 보안 업체 시큐어웍스(Secureworks)가 발표했다.


현재 트릭봇을 운영하고 있는 자들은 이전 다이어 트로얀(Dyre Trojan)과 관련 있는 자들로, 최소 2016년 10월부터 트릭봇을 세계 곳곳에 퍼트리고 있다. 당시부터 이들의 목적은 금융 기관 혹은 장비들이었다.

그런데 공격자들이 2019년 8월부터 전략을 살짝 수정했다. 트릭봇 공격에 사용되는 웹인젝트(webinject)들을 바꾼 것이다. 그러면서 미국에서 가장 큰 모바일 통신사 세 곳이 표적이 됐다.
1) 버라이즌 와이어리스(Verizon Wireless) - 8월 5일부터
2) 티모바일(T-Mobile) - 8월 12일부터
3) 스프린트(Sprint) - 8월 19일부터

세 차례의 업데이트가 진행되면서 세 통신사의 고객들이 피해를 입기 시작했다. 버라이즌, 티모바일, 스프린트의 웹사이트에 접속하게 될 경우 트릭봇이 정상 서버에서 전송되는 응답을 가로채고, 이를 C&C 서버로 전송한다. 그러고 나서 별도의 HTML과 자바스크립트를 페이지에 추가해 다시 사용자에게로 보낸다.

“그러므로 사용자의 눈에는 버라이즌이나 티모바일이나 스프린트의 웹사이트에 평소처럼 접속한 것으로 보이지만, 여기에는 공격자들이 추가한 다른 것들이 존재하게 된다는 겁니다. 공격자들은 사용자의 핀 코드를 요구하는 필드를 몰래 추가해서 이 정보를 수집하고 있습니다. 그것이 최신 트릭봇의 목표입니다.”

이렇게 사용자 몰래 주입된 페이지에는 트릭봇의 기록 관련 기능(rcrd)을 활성화하는 부분도 포함되어 있다. 이는 사용자의 이름, 비밀번호, 핀 번호 등을 묻는 HTTP 요청을 생성하는 기능이다.

왜 갑자기 트릭봇 공격자들이 핀 코드에 관심을 갖게 됐을까? 시큐어웍스는 “사이버 공격자들이 전화번호를 훔치거나 심 카드를 바꾸는 방식의 공격에 관심을 갖게 되었다는 뜻”이라고 분석한다. 후자는 심 스와핑(SIM Swapping) 공격을 말하는 것으로, 사이버 공격자들이 통신사 직원을 매수하거나 속여 제3자의 심카드 정보를 취득한 뒤 이를 엉뚱한 장비에 심어 통신사를 통해 전달되는 데이터를 가로채는 것이다. 문자 메시지를 기반으로 한 이중인중을 뚫는 데 효과적이라고 알려져 있다.

“전화번호를 훔쳐내는 사기 공격이나 심 카드를 바꿔치기 하는 사기 공격 모두 공격자가 전화기의 소유주인 것처럼 행동할 수 있게 해줍니다. 전화나 문자를 자기가 가지고 있는 장비로 돌릴 수 있게 되는 것이죠.” 시큐어웍스의 설명이다.

작년에는 심 스왑 공격을 통해 암호화폐를 훔친 사기 공격이 발생해, 3백만 달러를 잃은 피해자가 통신사인 AT&T를 고소하는 일도 있었다(https://www.boannews.com/media/view.asp?idx=72314&kind=1). 지난 주말에는 트위터의 CEO가 심 스왑을 통해 트위터 계정을 해킹당해 웃음거리가 되기도 했다.

3줄 요약
1. 금융 기관 노리던 트릭봇 멀웨어 운영자들, 갑자기 통신사 사용자들 노리기 시작.
2. 특히 이들이 지금 집착하고 있는 건 통신사에서 제공하는 핀 코드.
3. 왜 그럴까? 트릭봇 공격자들이 최근 심 스왑 공격에 관심을 갖게 된 모양.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>