상세 컨텐츠

본문 제목

새로이 등장한 RIPPER 악성코드, 태국 ATM 강도사건의 주범으로 지목 돼

국내외 보안동향

by 알약(Alyac) 2016. 8. 29. 14:52

본문

새로이 등장한 RIPPER 악성코드, 태국 ATM 강도사건의 주범으로 지목 돼

New RIPPER Malware Suspected Behind Thailand ATM Heists


최근 보안연구원들은 새로 등장한 ATM 악성코드를 몇일 전 태국에서 발생한 ATM 사건의 주범으로 지목했습니다. 또한 해당 악성코드가 얼마 전 대만에서 일어난 사건과도 관련이 있을 것으로 추정된다고 밝혔습니다. (▶ 대만 ATM 해킹사건 자세히 보러가기)


이번주 초, 태국의 ATM기기가 해킹당해 1200만바트(한화 약 4억원 상당)이 도난당한 사건이 있었습니다. 파이어아이 연구원들은 태국 언론사들이 이 사건에 대해 공개하기 몇분 전, 태국의 한 IP에서 바이러스토탈에 업로드 한 새로운 ATM 악성코드를 탐지했다고 밝혔습니다. 


이번에 발견된 악성코드는 ATM들을 타겟으로 하는 새로운 변종으로, 멀웨어 소스코드에서 ATMRIPPER라는 텍스트가 발견되어 RIPPER라 명명하였습니다. 


이 악성코드 패밀리는 처음 발견되었으나, 해당 악성코드에서 Padpin (Tyupkin), SUCEFUL, GreenDispenser, Skimer와 같은 다른 ATM 멀웨어 변종에서도 찾아볼 수 있는 다수의 컴포넌트들이 발견되었습니다. 해당 악성코드는 새로운 버전을 준비하고 있는 범죄자 혹은 감염된 ATM을 수사하고 있는 태국의 수사관이 바이러스 토탈에 업로드한 것으로 추정됩니다. 


파이어아이의 RIPPER 관련 기술 분석 보고서에는 태국 언론들이 보도한 ATM 사고 관련 내용들을 뒷받침할 증거들을 다수 포함하고 있었다고 밝혔습니다. 


RIPPER 악성코드는 ATM의 네트워크 인터페이스를 언제든지 비활성화 시킬 수 있는 컴포넌트를 포함하고 있습니다. 태국 언론들은 해킹당한 ATM들이 사건 당시 오프라인 상태였다고 보도한 바 있습니다. 


해당 악성코드는 공격자들이 특수한 인증코드가 내장된 EMV칩이 포함된 카드를 사용하여 ATM을 제어할 수 있도록 허용합니다. 태국의 조사관들은 ATM 에서 발견된 악성코드와 관련하여 동일한 내용을 보고한 바 있습니다


이번 태국에서 발생한 ATM 해킹사건은 NCR에서 생산된 ATM만이 공격 대상이었습니다. 태국 당국은 해당 범죄그룹이 지난 7월 대만에서 발생한 ATM 해킹사건의 배후에도 있을 것으로 추정하고 있습니다. 


파이어아이는 RIPPER악성코드가 특정 벤더 3곳을 노리는 코드를 포함하고 있었다고 밝혔습니다. 회사명은 공개하지 않았지만 이는 대만 ATM 공격을 감행한 그룹의 공격방식과 맞아 떨어진다고 밝혔습니다. 게다가 이번주에 바이러스 토탈에 업로드 된 악성코드 PE파일의 타임스탬프는 대만에서 ATM 해킹공격이 일어나기 이틀전인 2016년 7월 10일로 확인되었습니다. 


파이어아이는 요청에 따라 카드를 읽거나 배출하는 RIPPER의 컴포넌트들은 SUCEFUL에서 발견된 것과 매우 유사하며, 커스텀 메이드 마스터 EMV 카드를 사용하는 기술은 Skimmer에서 빌려온 것이라고 밝혔습니다. 또한 로컬 네트워크 연결을 비활성화 시키는 기능은 Padpin(Tyupkin)에서, 자가삭제모듈인 'sdelete'는 GreenDispenser에서 발견된 것과 유사하다고 덧붙였습니다. 


현재 알약에서는 해당 악성코드에 대하여 Trojan.Agent.RIPPER로 탐지중에 있습니다. 




출처 : 

http://news.softpedia.com/news/new-ripper-malware-suspected-behind-thailand-atm-heists-507676.shtml

https://www.fireeye.com/blog/threat-research/2016/08/ripper_atm_malwarea.html

관련글 더보기

댓글 영역