카스퍼스키랩, 해킹그룹 ‘사일런스’ 표적 공격 발견

 
[아이티데일리] 지난 9월부터 러시아, 아르메니아, 말레이시아를 포함한 여러 지역에서 10개 이상의 금융기관에 새로운 형태의 표적 공격이 연이어 발생하고 있어 주의가 요구된다.

14일 카스퍼스키랩(지사장 이창훈)은 신생 해킹 그룹인 ‘사일런스(Silence)’의 표적 공격이 지금도 이어지고 있다며 이같이 밝혔다.

카스퍼스키랩에 따르면, 사일런스는 금융 기관에서 수백만 달러를 절도한 메텔(Metel), GC맨(GCMAN), 카바낙과 같이 금융기관을 대상으로 표적 공격을 진행하고 있다. 이같은 표적공격은 ▲먼저 내부 뱅킹 네트워크에 대해 장기간 지속적인 액세스를 확보한 후 ▲해당 네트워크의 일일활동을 모니터링하고 ▲개별 뱅킹 네트워크의 상세 정보를 확인한 다음 ▲적당한 시기에 그 동안 모은 지식을 활용해 돈을 빼내는 방법을 사용했다.

사일런스의 트로이목마는 스피어피싱 이메일로 피해기관의 인프라를 감염시킨다. 피해자가 이메일 첨부 파일을 열면 다운로드를 통해 드롭퍼 악성코드가 실행된다. 이 드롭퍼 악성코드가 C&C 서버와 연결한 후 감염된 기기의 ID를 전송하고 추가 악성코드를 실행해 블루스크린, 데이터 업로드, 자격 증명 정보 절도, 원격제어 등의 문제를 일으킨다.

또한, 실제 기관 종사자의 주소를 사용해 피해자에게 계좌 개설 요청 이메일을 보내는 식으로 이미 감염된 금융기관 인프라를 새로운 공격에 악용한다. 더불어 네트워크에 대한 장기간 액세스를 확보한 후에는 네트워크 조사도 진행하며, 이를 통해 피해자의 컴퓨터 화면과 일상정보 등 절도에 활용할 수 있는 정보를 확보한다. 이러한 과정과 방식은 카바낙의 수법과 매우 유사하다는 게 카스퍼스키랩 측 설명이다.

이 밖에 카스퍼스키랩의 연구진은 사일런스 공격의 구성 요소를 연구하면서 발견한 언어적 증거를 토대로, 악성 공격을 펼친 범죄자들이 러시아어를 사용한다는 사실을 발견했다.

이창훈 카스퍼스키랩코리아 지사장은 “사일런트 트로이목마는 사이버 범죄자들이 일반 사용자가 아닌 은행을 직접 노리는 쪽으로 점차 돌아서고 있음을 보여주는 증거”라며, “더욱 교묘하고 전문적인 APT 방식의 사이버 절도 범죄가 성행하면서 최근 이 추세는 갈수록 뚜렷해지고 있으며, 특히 이들이 은밀히 활동하기 때문에 각 은행의 보안 대책의 수준과 관계없이 성공을 거둘 수도 있다”고 주의를 당부했다.

한편, 카스퍼스키랩 연구진은 사이버 공격을 스스로 막으려면 ▲APT 솔루션 사용 ▲이메일 보안 솔루션 사용 등의 조치를 취하는 것이 좋다고 조언한다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지