Offcanvas

CSO / 랜섬웨어 / 보안 / 악성코드

‘은행 데이터 탈취해 악성메일 미끼로 사용’ 퀄리슨 연구진, 새 해킹 사례 분석

2023.01.05 Lucian Constantin  |  CSO
보안 업체 퀄리스의 연구진은 한 해킹 조직이 콜럼비아 은행에서 탈취한 고객 정보를 피싱 공격에 악용하고 있다고 보고했다. 애초 은행 데이터 탈취 사건의 용의자로 의심받고 있는 이 해킹 그룹은 2021년 2월부터 지하 시장에서 판매된 상용 트로이 목마 프로그램 비트랏(BitRat)을 배포하고 있다. 
 
ⓒGetty Images Bank
 

탈취한 은행 데이터를 ‘미끼’ 삼아 

퀄리스 연구진은 사용자 정보를 담은 엑셀 파일이 피싱 공격의 유인책으로 쓰이고 있다는 사실을 발견했다. 

이 데이터를 더 조사한 결과 콜롬비아의 한 협력 은행의 것으로 밝혀졌다. 연구진은 은행의 공공 웹 인프라를 살펴본 후 SQL 주입 공격을 수행하기 위한 sqlmap 도구가 사용된 것으로 추정되는 로그를 발견했다. 공격자들이 만든 데이터베이스 덤프 파일을 발견하기도 했다. 

연구진은 보고서에서 “세둘러 번호(콜롬비아의 주민등록번호), 이메일 주소, 전화번호, 고객 이름, 지출 내역, 급여, 주소 등의 세부 정보가 담긴 고객 데이터 41만 8,777줄이 유출됐다”라며 “현재 다크웹이나 클리어웹 모니러팅 목록에서 이 데이터가 발견되지는 않았다”라고 말했다. 

해킹 그룹은 때로 다크웹에서 데이터를 구입한다. 하지만 이 데이터는 웹 그 어디에서도 발견되지 않았으므로 개인적으로 구매됐거나 배후에 있는 공격자가 직접 데이터를 탈취했을 가능성이 크다. 

이는 연구진이 오랫동안 경고해온 데이터 탈취 수법이다. 도난당한 데이터가 바로 금전적 이득을 얻거나 계정에 접근하는 데 사용될 수 없더라도, 미끼로 악용될 수 있다. 일반 사용자는 은행 같은 공식 기관만이 접근할 수 있는 개인정보가 포함된 이메일 피싱에 더 쉽게 속을 가능성이 크다. 
 

정교한 악성 파일 배포 방식  

엑셀 파일의 드로퍼 메커니즘은 상당히 정교하다. 먼저, 파일 내부에 고도로 난독화된 매크로 스크립트가 숨겨져 있다. 이 스크립트는 수백 개의 배열로부터 .inf 파일을 생성한다. 그런 다음 최종 .inf 파일은 advpack.dll(.inf 파일을 읽고 확인하여 하드웨어 및 소프트웨어 설치를 지원하는 라이브러리)을 통해 실행된다. 

.INF 파일은 DLL 파일 형태로 인코딩된 2단계 로더를 포함한다. 이 DLL 파일은 윈도우즈 인증 도구를 사용하여 디코딩됩니다.exe 유틸리티이며 rundll32를 사용하여 실행된다. 그런 다음 이 로더는 WinHTTP 라이브러리를 사용하여 깃허브 저장소에서 비트랏 페이로드를 다운로드한다. 해당 깃허브 계정은 11월에 만들어졌고 이러한 페이로드를 여러 개 호스팅했다.

이러한 페이로드들은 스마트어셈블리를 통해 난독화되었으며 자동으로 비트랏 바이너리를 로드한다. 배포 프로세스가 끝나면 다양한 단계에서 생성된 모든 임시 파일이 삭제되고 페이로드와 비트랏 바이너리가 시작 폴더에 복사되어 지속성이 확보된다. 

이 프로세스는 난독화, 인코딩, 디버그 방지 기술, 실행을 위한 다양한 시스템 유틸리티의 사용, 자동 DLL 로딩의 여러 계층을 포함한다. 이러한 정교함은 공격자가 악성 프로그램 생성 및 전달에 얼마나 정통한지 보여준다. 

다크웹에서 20달러만 내면 이용할 수 있는 비트랏은 강력하고 기능이 풍부한 트로이 목마 악성 프로그램이다. 데이터 유출, 키 로깅, DDoS 공격, 페이로드 실행, 웹캠 및 마이크 녹음, 모네로(Monero) 마이닝, 자격 증명 도용 등을 수행할 수 있다. 

해킹 그룹이 입맛대로 바꿀 수 있는 맞춤형 악성 프로그램 대신 기성 트로이 목마프로그램을 선택한 이유는 이가 편리하고 추적이 어렵기 때문이다. 이런 악성 프로그램은 매우 저렴해 다른 해킹 그룹도 자주 사용한다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.