2020.10.16

“금융 범죄조직 ‘FIN11’, 랜섬웨어 배포 데이터 탈취 활동으로 선회”

Lucian Constantin | CSO
정교한 랜섬웨어를 사용해 돈을 강탈하는 것이 사이버 범죄자들에게 수익성이 높은 비즈니스 모델이 되었다. 이로 인해 전통적인 금융 범죄와 결제 카드 도난에 개입하던 일부 공격 조직들의 초점이 바뀌었다.

맨디언트(Mandiant)의 새로운 보고서에 따르면 2017년과 2018년에 걸쳐 주로 금융, 소매 및 요식업 부문의 기관을 표적으로 삼았던 FIN11이 바로 이런 조직이다. 하지만 2019년부터 이 그룹은 표적과 무기를 다각화하고 랜섬웨어 유통으로 방향을 돌렸다. 최근에는 피해자들로부터 비즈니스 데이터를 훔치고 대가를 지불하지 않으면 이를 대중에 공개하겠다고 협박하면서 끈질기게 강탈하고 있다.
 
Image Credit : Getty Images Bank

FIN11의 정체는?
FIN11은 최소한 2016년부터 활동했으며 구성원들은 러시아어를 구사하는 국가에 거주하고 있을 가능성이 높다. 해당 그룹이 사용한 도구에서 발견된 메타데이터를 보면 개발자들은 키릴 문자를 사용하며 이 맬웨어 자체에 전 소련(Soviet Union) 국가 연방인 CIS의 언어로 구성되어 있는 키보드 레이아웃과 로컬라이제이션이 있는 시스템 손상을 방지하기 위해 체크가 포함되어 있다. 

또한 해당 그룹의 활동은 1월에 목격되는 러시아의 섣달 그믐과 그리스 정교 크리스마스 즈음에 멈춘다. 해당 그룹의 구성원들이 해당 기간 동안 휴가를 가는 것으로 추정된다. 

FIN11의 툴셋과 기법은 다른 사이버 범죄 그룹의 그것과 겹치며, 그 이유는 암시장에서 판매되는 맬웨어 프로그램과 기타 서비스를 정기적으로 사용하기 때문이다. 즉, 업계에서 추적한 FlawedAmmyy, FRIENDSPEAK 및 MIXLABEL을 포함하여 일부 맬웨어 다운로더와 백도어가 FIN11 고유의 것으로 여겨지고 있다. 

FIN11의 활동 중 일부와 업계에서 TA505라고 부르며 Dridex 봇넷 및 Locky 랜섬웨어와 관련성이 있는 그룹의 활동에 눈에 띄는 유사성이 있지만 맨디언트는 그들의 기법에 상당한 차이가 있기 때문에 두 그룹을 하나로 보기는 어렵다고 분석했다.

해당 기업은 새 보고서에서 “금전을 추구하는 위협 그룹인 FIN11은 맨디언트의 연구원들이 지금까지 목격한 금전을 목적으로 하는 위협 활동가들 중에서 가장 규모가 크고 오래 지속되는 맬웨어 배포 캠페인을 벌이고 있다. 대량의 악성 이메일 캠페인 외에 FIN11은 지속적으로 발전하고 있는 맬웨어 제공 전략과 기법으로도 유명하다. 맨디언트의 컨설턴트들은 FIN11이 조직의 네트워크에 액세스하여 수익을 얻은 여러 사건에 대응했다”라고 밝혔다.

확장된 표적과 랜섬웨어
2019년 이후 연구원들은 FIN11의 맬웨어 배포 캠페인과 피싱 미끼의 상당한 변화를 감지했다.  여러 산업 부문의 조직들을 더욱 무분별하게 표적화하기 시작했던 것이다. 이와 더불어 해당 그룹은 CLOP라는 랜섬웨어 프로그램을 기반으로 하는 수익 모델로 전향했다.

FIN11의 대규모 이메일 캠페인은 위조 판매 주문, 은행 명세서와 청구서 등의 포괄적인 미끼를 사용하지만 일부는 특정 국가나 산업에 맞춰져 있었다. 맨디언트는 영어, 스페인어, 한국어 및 독일어로 작성된 FIN11 피싱 이메일을 관찰했으며, 최근 랜섬웨어 피해자의 상당수가 독일인들이었다. 1월의 제약 부문처럼 특정 산업 부문을 표적화할 때는 연구 보고서, 실험실 사고, 청구 스프레드시트 등 해당 산업과 관련된 피싱 미끼를 사용했다.

해당 그룹이 이메일을 통해 맬웨어 드롭퍼를 제공하는 방법은 지난 2년 동안 빠르게 발전했으며 감지를 더욱 잘 피하기 위해 거의 매월 변화가 이루어지고 있다. 본래 해당 그룹의 이메일에는 악성 매크로가 포함된 마이크로소프트 오피스 문서가 포함되어 있었지만 이런 오피스 파일들이 첨부파일로 전달되는 압축파일 안에 위치하기 시작했다. 

그리고 해당 그룹은 첨부파일 사용을 중단하고 사용자를 원격 서버에서 호스팅되는 오피스 파일로 안내하는 URL을 이메일에 포함시키기 시작했다. 그리고 사용자를 악성 오피스 파일을 호스팅하는 외부 URL로 안내하는 HTML 첨부파일로 전환했다.

최근의 FIN11 공격에서 악성 이메일에는 피해자를 해킹된 도메인으로 안내하고 거기에서 사용자가 CAPTCHA 문제를 통과한 후 악성 오피스 파일을 제공하는 공격자 제어 도메인으로 이동시키는 HTML 첨부파일이 있었다. 이는 보안 제품과 서비스에 의한 자동화된 URL 스캔을 차단하기 위해 추가됐을 가능성이 높다.

FIN11과 관련된 여러 맬웨어 샘플들이 암시장에서 서비스를 통해 구매하는 코드 서명 인증서를 통해 디지털 방식으로 서명되고 있다. 또한 해당 그룹은 방탄 호스팅, 도메인 등록 및 상품 맬웨어 도구 등 다른 서비스를 위해 범죄 공급자를 이용한다.

침입 후 및 수익화
피싱 캠페인을 통해 큰 그물을 던지고 있지만 FIN11은 규모, 산업 및 지불 가능성을 기준으로 선정되었을 가능성이 높은 소규모 피해자들에게만 더욱 심층적인 해킹을 수행하기로 결정했다. 다른 여러 정교한 랜섬웨어 악당들과 마찬가지로 FIN11은 수동 해킹을 사용하여 네트워크상에서 횡방향으로 이동하고 랜섬웨어를 배포하기 때문에 해당 그룹은 이를 대규모로 수행하기에 충분한 인력이 없을 수도 있다.

초기 침투 후 피해자가 탐스러워 보이면 FIN11 공격자들이 횡방향으로 이동하여 도메인 관리 권한을 획득하기 위해 여러 개의 백도어를 배포한다. FlawedAmmyy 및 MIXLABEL 등의 전용 도구를 통해서도 침투하기는 하지만 횡방향 이동 활동을 위해서는 여러 공개 도구를 사용해야 한다. 이는 여러 해커 그룹들이 운영하는 방식과 유사하다.

도메인 관리자 자격 증명을 획득하면 공격자들이 다양한 도구를 사용하여 윈도우 디펜더를 비활성화하고 GPO(Group Policy Object)를 사용하여 수백 개의 컴퓨터에 CLOP 랜섬웨어를 배포한다. 

참고로 FIN11의 대가 요구 메모에는 피해자가 연락할 이메일 주소만 포함되어 있으며 대가의 금액이 명시되어 있지 않기 때문에 대가가 피해자 조직에 따라 추후에 결정된다는 것을 알 수 있다. 공개된 보고서에 따르면 FIN11가 요구하는 대가는 수십만 달러에서 수천만 달러라고 한다.

맨디언트의 연구진은 “FIN11은 액세스를 잃은 후 조직의 호스트를 신속하게 재해킹하는 경우가 많았다. 예를 들어, 한 조직이 수 개월 만에 FIN11 이메일 캠페인을 통해 해킹됐다. 다른 조직에서는 여러 개의 서버가 CLOP로 감염되고 백업으로 복구했는데 나중에 다시 감염됐다”라고 경고했다.

올 해 초, FIN11은 데이터를 훔치고 공개하겠다고 협박하여 랜섬웨어 피해자가 대가를 지불하게 만드는 전략을 도입했다. 해당 그룹은 대가 지불을 거절한 기업들의 부분적인 데이터를 공개하는 다크 웹 사이트를 만들었다. 맨디언트의 연구원들은 해당 그룹이 피해자에게 랜섬웨어를 배포하지 않고 도난 데이터 강탈을 자행한 사례를 목격했지만 두 강탈 전략 사이에 명확한 구분이 있는지 또는 해당 그룹이 추후에 랜섬웨어를 배포하기로 계획했는지 여부는 불투명하다.
 
맨디언트는 “해당 그룹이 최근 데이터 도난 및 강탈을 랜섬웨어 활동에 통합했기 때문에 관련된 활동자들이 법률 기업이나 연구 및 개발 기업 등 민감하거나 값진 데이터를 가지고 있을 가능성이 높은 피해자의 우선순위를 설정했을 수도 있다. 이런 선택적인 익스플로잇 공격 패턴으로 인해 FIN11 활동자들은 결국 FIN11이 획득한 액세스로 수익을 창출할 리소스를 가진 사이버 범죄 커뮤니티의 다른 구성원과 추가적인 협력관계를 구축하려 할 수 있다”라고 경고했다. ciokr@idg.co.kr



2020.10.16

“금융 범죄조직 ‘FIN11’, 랜섬웨어 배포 데이터 탈취 활동으로 선회”

Lucian Constantin | CSO
정교한 랜섬웨어를 사용해 돈을 강탈하는 것이 사이버 범죄자들에게 수익성이 높은 비즈니스 모델이 되었다. 이로 인해 전통적인 금융 범죄와 결제 카드 도난에 개입하던 일부 공격 조직들의 초점이 바뀌었다.

맨디언트(Mandiant)의 새로운 보고서에 따르면 2017년과 2018년에 걸쳐 주로 금융, 소매 및 요식업 부문의 기관을 표적으로 삼았던 FIN11이 바로 이런 조직이다. 하지만 2019년부터 이 그룹은 표적과 무기를 다각화하고 랜섬웨어 유통으로 방향을 돌렸다. 최근에는 피해자들로부터 비즈니스 데이터를 훔치고 대가를 지불하지 않으면 이를 대중에 공개하겠다고 협박하면서 끈질기게 강탈하고 있다.
 
Image Credit : Getty Images Bank

FIN11의 정체는?
FIN11은 최소한 2016년부터 활동했으며 구성원들은 러시아어를 구사하는 국가에 거주하고 있을 가능성이 높다. 해당 그룹이 사용한 도구에서 발견된 메타데이터를 보면 개발자들은 키릴 문자를 사용하며 이 맬웨어 자체에 전 소련(Soviet Union) 국가 연방인 CIS의 언어로 구성되어 있는 키보드 레이아웃과 로컬라이제이션이 있는 시스템 손상을 방지하기 위해 체크가 포함되어 있다. 

또한 해당 그룹의 활동은 1월에 목격되는 러시아의 섣달 그믐과 그리스 정교 크리스마스 즈음에 멈춘다. 해당 그룹의 구성원들이 해당 기간 동안 휴가를 가는 것으로 추정된다. 

FIN11의 툴셋과 기법은 다른 사이버 범죄 그룹의 그것과 겹치며, 그 이유는 암시장에서 판매되는 맬웨어 프로그램과 기타 서비스를 정기적으로 사용하기 때문이다. 즉, 업계에서 추적한 FlawedAmmyy, FRIENDSPEAK 및 MIXLABEL을 포함하여 일부 맬웨어 다운로더와 백도어가 FIN11 고유의 것으로 여겨지고 있다. 

FIN11의 활동 중 일부와 업계에서 TA505라고 부르며 Dridex 봇넷 및 Locky 랜섬웨어와 관련성이 있는 그룹의 활동에 눈에 띄는 유사성이 있지만 맨디언트는 그들의 기법에 상당한 차이가 있기 때문에 두 그룹을 하나로 보기는 어렵다고 분석했다.

해당 기업은 새 보고서에서 “금전을 추구하는 위협 그룹인 FIN11은 맨디언트의 연구원들이 지금까지 목격한 금전을 목적으로 하는 위협 활동가들 중에서 가장 규모가 크고 오래 지속되는 맬웨어 배포 캠페인을 벌이고 있다. 대량의 악성 이메일 캠페인 외에 FIN11은 지속적으로 발전하고 있는 맬웨어 제공 전략과 기법으로도 유명하다. 맨디언트의 컨설턴트들은 FIN11이 조직의 네트워크에 액세스하여 수익을 얻은 여러 사건에 대응했다”라고 밝혔다.

확장된 표적과 랜섬웨어
2019년 이후 연구원들은 FIN11의 맬웨어 배포 캠페인과 피싱 미끼의 상당한 변화를 감지했다.  여러 산업 부문의 조직들을 더욱 무분별하게 표적화하기 시작했던 것이다. 이와 더불어 해당 그룹은 CLOP라는 랜섬웨어 프로그램을 기반으로 하는 수익 모델로 전향했다.

FIN11의 대규모 이메일 캠페인은 위조 판매 주문, 은행 명세서와 청구서 등의 포괄적인 미끼를 사용하지만 일부는 특정 국가나 산업에 맞춰져 있었다. 맨디언트는 영어, 스페인어, 한국어 및 독일어로 작성된 FIN11 피싱 이메일을 관찰했으며, 최근 랜섬웨어 피해자의 상당수가 독일인들이었다. 1월의 제약 부문처럼 특정 산업 부문을 표적화할 때는 연구 보고서, 실험실 사고, 청구 스프레드시트 등 해당 산업과 관련된 피싱 미끼를 사용했다.

해당 그룹이 이메일을 통해 맬웨어 드롭퍼를 제공하는 방법은 지난 2년 동안 빠르게 발전했으며 감지를 더욱 잘 피하기 위해 거의 매월 변화가 이루어지고 있다. 본래 해당 그룹의 이메일에는 악성 매크로가 포함된 마이크로소프트 오피스 문서가 포함되어 있었지만 이런 오피스 파일들이 첨부파일로 전달되는 압축파일 안에 위치하기 시작했다. 

그리고 해당 그룹은 첨부파일 사용을 중단하고 사용자를 원격 서버에서 호스팅되는 오피스 파일로 안내하는 URL을 이메일에 포함시키기 시작했다. 그리고 사용자를 악성 오피스 파일을 호스팅하는 외부 URL로 안내하는 HTML 첨부파일로 전환했다.

최근의 FIN11 공격에서 악성 이메일에는 피해자를 해킹된 도메인으로 안내하고 거기에서 사용자가 CAPTCHA 문제를 통과한 후 악성 오피스 파일을 제공하는 공격자 제어 도메인으로 이동시키는 HTML 첨부파일이 있었다. 이는 보안 제품과 서비스에 의한 자동화된 URL 스캔을 차단하기 위해 추가됐을 가능성이 높다.

FIN11과 관련된 여러 맬웨어 샘플들이 암시장에서 서비스를 통해 구매하는 코드 서명 인증서를 통해 디지털 방식으로 서명되고 있다. 또한 해당 그룹은 방탄 호스팅, 도메인 등록 및 상품 맬웨어 도구 등 다른 서비스를 위해 범죄 공급자를 이용한다.

침입 후 및 수익화
피싱 캠페인을 통해 큰 그물을 던지고 있지만 FIN11은 규모, 산업 및 지불 가능성을 기준으로 선정되었을 가능성이 높은 소규모 피해자들에게만 더욱 심층적인 해킹을 수행하기로 결정했다. 다른 여러 정교한 랜섬웨어 악당들과 마찬가지로 FIN11은 수동 해킹을 사용하여 네트워크상에서 횡방향으로 이동하고 랜섬웨어를 배포하기 때문에 해당 그룹은 이를 대규모로 수행하기에 충분한 인력이 없을 수도 있다.

초기 침투 후 피해자가 탐스러워 보이면 FIN11 공격자들이 횡방향으로 이동하여 도메인 관리 권한을 획득하기 위해 여러 개의 백도어를 배포한다. FlawedAmmyy 및 MIXLABEL 등의 전용 도구를 통해서도 침투하기는 하지만 횡방향 이동 활동을 위해서는 여러 공개 도구를 사용해야 한다. 이는 여러 해커 그룹들이 운영하는 방식과 유사하다.

도메인 관리자 자격 증명을 획득하면 공격자들이 다양한 도구를 사용하여 윈도우 디펜더를 비활성화하고 GPO(Group Policy Object)를 사용하여 수백 개의 컴퓨터에 CLOP 랜섬웨어를 배포한다. 

참고로 FIN11의 대가 요구 메모에는 피해자가 연락할 이메일 주소만 포함되어 있으며 대가의 금액이 명시되어 있지 않기 때문에 대가가 피해자 조직에 따라 추후에 결정된다는 것을 알 수 있다. 공개된 보고서에 따르면 FIN11가 요구하는 대가는 수십만 달러에서 수천만 달러라고 한다.

맨디언트의 연구진은 “FIN11은 액세스를 잃은 후 조직의 호스트를 신속하게 재해킹하는 경우가 많았다. 예를 들어, 한 조직이 수 개월 만에 FIN11 이메일 캠페인을 통해 해킹됐다. 다른 조직에서는 여러 개의 서버가 CLOP로 감염되고 백업으로 복구했는데 나중에 다시 감염됐다”라고 경고했다.

올 해 초, FIN11은 데이터를 훔치고 공개하겠다고 협박하여 랜섬웨어 피해자가 대가를 지불하게 만드는 전략을 도입했다. 해당 그룹은 대가 지불을 거절한 기업들의 부분적인 데이터를 공개하는 다크 웹 사이트를 만들었다. 맨디언트의 연구원들은 해당 그룹이 피해자에게 랜섬웨어를 배포하지 않고 도난 데이터 강탈을 자행한 사례를 목격했지만 두 강탈 전략 사이에 명확한 구분이 있는지 또는 해당 그룹이 추후에 랜섬웨어를 배포하기로 계획했는지 여부는 불투명하다.
 
맨디언트는 “해당 그룹이 최근 데이터 도난 및 강탈을 랜섬웨어 활동에 통합했기 때문에 관련된 활동자들이 법률 기업이나 연구 및 개발 기업 등 민감하거나 값진 데이터를 가지고 있을 가능성이 높은 피해자의 우선순위를 설정했을 수도 있다. 이런 선택적인 익스플로잇 공격 패턴으로 인해 FIN11 활동자들은 결국 FIN11이 획득한 액세스로 수익을 창출할 리소스를 가진 사이버 범죄 커뮤니티의 다른 구성원과 추가적인 협력관계를 구축하려 할 수 있다”라고 경고했다. ciokr@idg.co.kr

X