사이버범죄 집단, 악성코드 C&C로 구글 서비스 사용해

사이버범죄 집단, 악성코드 C&C로 구글 서비스 사용해

Cybercrime gang uses Google services for malware command and control

조직적인 사이버 범죄 집단이 악성코드 피해자의 기기를 모니터링하고 제어하기 위한 C&C 통신을 위해 구글 서비스를 사용하고 있는 것으로 나타났습니다.

Carbanak 해킹 그룹은 전 세계에서 가장 성공적인 사이버 범죄 조직 중 하나입니다. 이 그룹은 지난 2013년부터 트로이목마 악성코드로 전 세계 은행, 전자 지불 시스템, 금융 기관들을 은밀하게 공격해왔습니다. 이들이 훔친 금액은 총 $10억 이상인 것으로 추측되고 있습니다.

Carbanak은 Anunak으로도 알려져 있습니다. 이들은 매우 조직적인 그룹으로, 잠재적 타겟 및 당국의 탐지를 피하기 위해 계속적으로 전략을 진화시켰습니다.

그들은 가장 최근의 공격 방식으로, 악성코드를 퍼뜨리기 위해 복제된 도메인에서 호스팅되는 오피스 문서를 사용했습니다. 이 악성코드는 악성 문서를 숨기기 위해 흔한 방법을 사용하고 있습니다. 이번 공격에서는 피싱 이메일 내 RTF 파일로 위장했는데, 해당 파일이 코드를 실행할 때에는 새로운 방식을 활용했습니다.

Carbanak 그룹의 VBScript 악성코드는 구글 서비스를 C&C 채널로 사용할 수 있는 ‘ggldr’이라는 추가 스크립트를 포함하고 있다는 사실이 밝혀졌습니다. 공격자는 이를 이용해 Google Apps Script, Google Sheets, Google Forms 서비스를 통해 명령어를 보내고 받을 수 있게 됩니다.

이후 구글의 스프레드시트가 동적으로 생성되어, 시스템이 감염된 기기의 상태를 체크하거나 C&C 체크인들을 보내는 등 감염된 피해자들을 각각 관리할 수 있도록 합니다. 이 사이클은 지속적으로 반복되기 위해 구글 스크립트를 사용합니다. (아래 그림 참조)

 

보안 연구원들은 새로 생성된 도메인이나 평판이 없는 도메인을 사용하는 것 보다, 구글 C&C 채널을 이용하는 방법이 더욱 성공적일 것이라고 경고했습니다. 관련 이슈는 구글에 제보된 상태입니다.

출처 :

http://www.zdnet.com/article/cybercrime-gang-uses-google-services-for-malware-command-and-control/

https://blogs.forcepoint.com/security-labs/carbanak-group-uses-google-malware-command-and-control

이미지출처  :

https://blogs.forcepoint.com/security-labs/carbanak-group-uses-google-malware-command-and-control