• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

라쿤 스틸러, 높은 기술력 대신 다양한 침투술 때문에 인기 급증 2019.11.26

올해 4월 처음 발견된 라쿤 스틸러...러시아어와 영어권 해킹 포럼에서 인기 높아
판매자들, 여러 가지 침투 경로 제공하기도...최근에는 MS와 시만텍 제품 우회하는 법도 나와

[보안뉴스 문가용 기자] 라쿤 스틸러(Raccoon Stealer)라는 멀웨어를 사용하는 사이버 범죄자들이 마이크로소프트(Microsoft)와 시만텍(Symantec)의 안티스팸 게이트웨이를 뚫어내기 위한 간단한 기법을 도입했다. 그리고 이 기법을 동원해 금융 기관들을 공격했다고 한다.

[이미지 = iclickart]


보안 업체 코펜스(Cofense)에 따르면 현재 라쿤 스틸러는 .img 파일 내부에 감춰져서 전달되는 중이라고 한다. 이 .img 파일은 해커가 통제하고 있는 드롭박스 계정에 호스팅 되어 있다. “공격자들은 BEC 공격과 비슷한 수법을 통해 이 드롭박스 계정 URL을 피해자가 클릭하도록 유도합니다. 그러면 악성 파일이 다운로드 되고 공격이 시작되죠.” 코펜스의 보안 전문가인 맥스 가논(Max Gannon)과 알란 라이너(Alan Rainer)의 설명이다.

라쿤 스틸러 자체는 현재 보안 전문가들 일부가 꽤나 흥미를 가지고 지켜보는 멀웨어 중 하나다. 2019년 4월에 처음 발견된, 비교적 새롭게 나타난 멀웨어이며, 사용이 매우 간편하도록 설계되어 있으며, 아직도 활발한 업그레이드가 진행되고 있기 때문이다. 4월에 처음 나타난 이후, 여러 실제 캠페인에 활용되는 모습이 적발되기도 했다.

현재 라쿤 스틸러는 러시아어와 영어권 해커들이 활동하는 다크웹 포럼에서 판매되는 중이며, 고객 지원도 성실하게 이뤄지고 있는 편이라고 한다. 또 다른 보안 업체 사이버리즌(Cybereason)에 의하면 라쿤 스틸러는 약 한 달 200달러 정도의 요금으로 거래되고 있으며, 지난 4월부터 지하의 라쿤 스틸러 고객들이 수십 만대의 윈도우 시스템을 감염시켰다고 한다.

코펜스의 연구원들은 “가장 최근에 발생한 캠페인의 경우, 이미 이전에 침해해 둔 이메일 계정을 통해 악성 이메일을 보내는 모습이 적발됐다”고 말한다. “하지만 (위에 설명했다시피) BEC 공격과 유사한 사기술을 통해 메일이 전달되므로 시만텍의 이메일 시큐리티(Email Security)와 마이크로소프트의 EOP 게이트웨이를 무사히 통과합니다. 악성 URL이 지워지거나 편집되는 일이 없이 피해자에게 전달된다는 겁니다. 따라서 이를 클릭하고 파일을 다운로드 받을 확률이 높아지죠.”

코펜스에 따르면 이런 교묘하고 효과적인 침투술이 도입된 이후 라쿤 스틸러의 인기가 다크웹에서 올라갔다고 한다. “최근 다크웹 해킹 포럼에서 많은 침투술이 논의되고 있고, 그런 흐름이 라쿤 스틸러에 적용되는 분위기입니다. 여러 가지 면에서 ‘히트 상품’이 되어가는 중입니다.”

이전 캠페인들의 경우 라쿤 스틸러는 RFT 문서의 형태로 이메일에 첨부된 채 퍼졌었다. 또한 각종 시설물과 유틸리티 분야를 주로 노리는 것으로 나타났다. 주로 마이크로소프트 오피스 문서에서 발견된 취약점인 CVE-2017-8570을 익스플로잇 하면서 감염에 성공하는 모습을 보여줬다. CVE-2017-8570은 2017년에 발견된 원격 코드 실행 취약점이라고 볼 수 있다.

“라쿤 스틸러는 멀웨어들 중 가장 뛰어난 최첨단 기술을 선보이는, 그런 종류의 멀웨어는 아닙니다. 하지만 데이터를 수집하고 밖으로 빼돌린다는 측면에 있어서는 꽤나 빠른 속도를 보여줍니다. 추가 페이로드를 다운로드 받아 설치하는 면에서도 안정성이 뛰어난 편입니다.” 코펜스의 설명이다.

폴아웃(Fallout)이라는 익스플로잇 키트를 개발하고 활용하는 공격자들이 라쿤 스틸러를 활용하기도 했었다. 이는 보안 업체 비트디펜더(Bitdefender)가 발견한 것으로, 올해 여름 “악성 광고 캠페인을 통해 라쿤 스틸러가 확산되고 있다”고 발표한 바 있다. 당시 라쿤 스틸러는 로그인 크리덴셜, 자동 채우기 값, 브라우저들에 저장된 쿠키 등을 빼돌렸었다. 그 외에 일부 암호화폐 지갑 크리덴셜이 도난당하기도 했었다.

“라쿤 스틸러의 가장 위협적인 면모는, 다양한 침투 기법을 선보이고 있다는 겁니다. 그 자체로 세계 최고의 성능과 최첨단의 끝을 보여주는 건 아니지만, 공격자들이 반드시 그런 멀웨어만 찾는 건 아니지요. 오히려 여러 방법으로 침투를 성공시켜주는 것이 더 중요합니다. 그렇기에 실제 다크웹에서도 인기가 올라가고 있고요. 앞으로 상당히 골치 아픈 존재가 될 것으로 보입니다.” 코펜스의 결론이다.

3줄 요약
1. 최근 유행하는 BEC 공격을 응용해 표적에 침투.
2. 현재 사이버 범죄자들의 포럼에서 약 한 달 200달러의 사용료로 거래되고 있음.
3. 여러 가지 모습으로 유연하게 바뀌기 때문에 앞으로 골치 아픈 존재 될 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>