※본 글은 2020년도에 업로드한 게시글을 홈페이지 개편으로 인해 재업로드한 콘텐츠입니다. 참고 부탁드립니다.
유럽에서 피해자 주로 발생하고 있어…각종 정보 수집하고 수익 남기는 듯
에빌넘(Evilnum)이라는 멀웨어를 이용해 각종 공격을 펼치는 그룹, 에빌넘에 대한 상세 보고서를 보안 업체 이셋(ESET)이 발표했습니다. 에빌넘은 약 2년 전에 발견된 단체이며, 주로 금융 기관과 기술 기업들을 공격해 왔습니다. 이셋이 이들을 추적하기 시작한 건 지난 4월부터입니다. 정상 도구를 공격에 활용하는 경우가 많아 추적이 쉽지 않았다고 합니다.
[이미지 = utoimage]
에빌넘은 2018년부터 공격을 해왔지만 자세히 알려진 적이 없는 단체입니다. 지난 4월 이셋이 보유한 자동화 시스템에서 에빌넘의 공격 도구 중 하나가 탐지되었고, 이를 계기로 추적을 시작했다고 합니다. 그 결과 피해자들 대부분 유럽연합과 영국에 분포되어 있는 것이 드러났고, 호주와 캐나다에서 일부 피해자가 발생한 것을 알게 되었습니다.
에빌넘의 궁극적인 목적은 공격 표적을 정찰한 후 금융 관련 정보를 수집하는 것으로, 주로 고객 정보가 담긴 스프레드시트 같은 정보를 수집합니다. 투자 정보, 거래 현황, 내부 회의 자료, 소프트웨어 라이선스, 소프트웨어 로그인용 크리덴셜, 브라우저 쿠키, 세션 데이터, 신용카드 정보, 신원 문서들도 이들에게 걸리면 무사할 수 없습니다. 최근 들어서는 VPN 설정 파일들도 탈취 대상이 되었습니다.
다른 사이버 범죄 단체와 마찬가지로 에빌넘 역시 피싱 이메일로부터 공격을 시작합니다. 이메일 안에는 링크 주소가 포함되어 있고, 이를 클릭하면 구글 드라이브에 호스팅 된 한 집(zip) 파일로 연결됩니다. 다운로드 된 zip 파일에는 여러 개의 LNK 파일들이 있는데, 악성 자바스크립트 요소를 실행시키는 기능을 가지고 있습니다.
압축되어 있는 LNK 파일들은 여러 개이지만 모두 같은 기능을 가지고 있습니다. 피해자가 이를 클릭해서 열 경우, 내부 콘텐츠를 검색해 특정 행을 찾아 복사한 후, 이를 자바스크립트 파일에 붙여 넣습니다. 그 자바스크립트 파일은 악성 파일로 실행될 경우 가짜 파일을 열게 되는데, 주로 사진이나 신용카드 및 신원 확인용 문건들이 해당됩니다. 주로 금융 기관에서 제출을 요구하는 서류들처럼 보이는 것들 입니다.
이셋은 “결국 금융 기관이 철저한 보안과 안전한 거래를 위해 고객들의 신원을 확실하게 파악해야 하고, 그러려면 각종 개인정보 및 민감 정보를 대조해봐야 하는데, 이 점을 노린 공격”이라고 요약했습니다. 이런 가짜 메일과 파일이, 진짜 금융 기관이 제공하는 메일이나 문건과 섞여들면 속기 쉽습니다. 진짜와 가짜의 구분이 어렵기 때문입니다. 둘 다 비슷한 정보를, 비슷한 이유로 요구하기 때문입니다. 이셋이 분석했을 때 피해자들에게 노출되는 문건들은 실제 문건이라고 합니다. 다른 해킹 공격을 통해 수집한 문건 혹은 양식들이며, 이를 재활용하고 있는 것이라고 합니다.
또 이번 보고서를 통해 새롭게 알려진 건 에빌넘이 여러 개의 C&C 서버들로 구성된 공격 인프라를 운영 중에 있다는 것입니다. 그 중 하나는 위에서 언급된 자바스크립트 구성 요소를 관리 및 제어하는 데 사용됩니다. 주로 공격의 초기 단계에 나타나는 것이며, 추가 멀웨어를 다운로드 받아 실행하는 기능을 발휘합니다. 이 때 파이선 기반의 공격 도구나 다크웹에서 판매되는 ‘서비스형 멀웨어’가 주로 나타나는데, 또 다른 서버들은 C# 요소 관리, 도구 저장, 탈취한 정보 저장의 용도로 활용되고 있었습니다.
에빌넘은 여러 악성 요소들을 공격에 활용하는데, 이들을 각각의 서버에서 따로 관리하고 있었습니다. 또한 과거에 사용했던 것으로 밝혀진 인프라는 이미 폐기한 상태였습니다. 따라서 과거 지식만을 기반으로 추적하기는 어렵습니다. 그 여러 악성 요소들 중에는 백도어도 다수 포함되어 있습니다. 스스로 제작한 것도 있지만 구매한 것들도 포함되어 있습니다.
또한 에빌넘은 골든 치킨스(Golden Chickens)라는 MaaS 업자에게서 도구들을 주로 구매한 것으로 보입니다. 골든 치킨스는 악성 바이너리와 공격 인프라를 대여해주는 곳으로, C&C 인프라가 범죄자들 사이에서 인기리에 사용되고 있습니다. 골든 치킨스를 이용하는 유명 해킹 집단으로는 핀6(FIN6), 코발트 그룹(Cobalt Group) 등이 있습니다. 주로 금전적인 목적으로 공격을 실시하는 집단들이라는 공통점이 있습니다.
다만 아직까지 에빌넘이 훔친 정보를 어떻게 활용하는지는 정확히 알려져 있지 않은 상태입니다. 그래도 꾸준히 다른 사업자들의 멀웨어와 인프라를 대여해서 사용하는 걸 보면 수익을 충분히 내고 있다고 볼 수 있습니다. 충분히 수익을 내는데도 독자적인 무기를 개발하지 않는다는 건, 탐지되는 걸 최대한 꺼린다는 뜻이기도 합니다.
출처 : 보안뉴스