상세 컨텐츠

본문 제목

Carbanak 그룹의 새로운 무기인 ‘Bateleur’ 백도어 발견 돼

국내외 보안동향

by 알약(Alyac) 2017. 8. 7. 14:33

본문

The bateleur backdoor is the new weapon in the Carbank gang’s arsenal


최근 보안전문가들은 악명높은 사이버 범죄자 Carbanak의 새로운 사이버 무기인 Jscript 백도어인  Bateleur를 추가한 것을 확인하였습니다. 


Carbanak 그룹은 카스퍼스키가 2015년 처음 발견한 범죄조직으로, 이 그룹은 약 100곳의 금융 기관으로부터 최소 3억 달러를 훔친 것으로 나타났습니다. 


2016년 초, Carbanak 갱은 미국과 중동의 은행 및 금융 기관들을 공격했습니다.


그리고 작년 11월, Trustwave의 연구원들은 이 그룹이 서비스 분야의 조직들을 타겟으로 하는 새로운 캠페인을 실행했다는 사실이 발견되었습니다. 


1월, Carbanak 갱은 C&C 통신을 위해 구글 서비스를 사용하기 시작했습니다.


범죄자들은 명령어를 Google Apps Script, Google Sheets, Google Forms 사이에서 보내고 받기 위해서 “ggldr” 스크립트를 사용했습니다.

해커들은 감염 된 사용자 마다 고유한 Google Sheets 스프레드시트를 사용해 탐지를 피하고자 했습니다.


지난 5월, Trustwave의 연구원들은 해당 그룹이 해킹 타겟을 위해 숨겨진 바로가기 파일 (LNK 파일)을 사용한 새로운 사회공학적 기법 및 피싱 기술을 사용하는 것을 확인하였습니다.


현재, 그룹은 새로운 매크로와 Bateleur 백도어를 사용해 미국의 레스토랑 체인들을 공격하고 있는 것으로 나타났습니다.


연구원들은 “Proofpoint의 연구원들은 FIN7이라는 공격자들이 그들의 툴킷에 새로운 Jscript 백도어인 Bateleur를 추가하고, 매크로를 업데이트 한 것을 발견했다. 우리는 이러한 새로운 툴들이 미국의 레스토랑 체인을 공격하는 것을 목격했다. FIN7은 이전에는 접객업, 소매업, 해운업, 제조업 등을 타겟으로 해왔다.” “새로운 매크로와 Bateleur 백도어는 정교한 안티 분석 및 샌드박스 기술을 사용해 그들의 활동을 숨기고 피해자를 양산한다.”고 밝혔습니다.


공격자들은 레스토랑 체인을 공격하기 위해 단순하고 효과적인 메시지를 사용했습니다. 


이메일의 발신자가 Outlook.com 계정을 통해 보냈을 경우 메시지에 “이 문서는 Outlook Protect Service를 통해 암호화 되었습니다.”라는 문장을 포함하고, Gmail 계정을 사용했을 경우 “이 문서는 Google Documents Protect Service를 통해 암호화 되었습니다.”라는 문장을 포함했습니다.


<이미지 출처: https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor>



이 문서는 캡션을 통해 악성 페이로드에 접근하는 매크로를 포함하고 있었습니다. 이후 Jscript를 캡션으로부터 추출해내고 내용을 현재 사용자의 임시 폴더 (%TMP%) 내에 debug.txt에 저장합니다. 다음으로, 매크로는 Debug.txt를 JScript(Bateleur 백도어)로써 실행하기 위해 예약 된 작업을 생성합니다. 이는 예약 된 작업을 삭제하기 전 10초 동안 휴면합니다.


“악성 JScript는 안티 샌드박스 기능, 안티 분석(난독화) 기능, 실행 중인 프로세스 나열, 임의의 명령어 및 PowerShell 스크립트 실행, EXE 및 DLL 로딩, 스크린샷 찍기, 자기 자신을 언인스톨 및 업데이트 하기, 패스워드를 추출하기 등 강력한 기능이 있다. 마지막에 언급 된 기능은 C&C 서버로부터 추가 모듈을 받아야한다.”


Carbanak은 여전히 활동 중이며, 지속적으로 전략, 기술, 절차 등을 개선시키고 있습니다.


Proofpoint는 “우리는 FIN7이 사용한 전략 및 툴에서 더 많은 피해자들을 감염 시키고 탐지를 피하기 위한 지속적인 변화를 보고 있다. Bateleur JScript 백도어와 새로운 매크로가 포함 된 문서들은 이 그룹의 최신 툴셋으로 보인다.”고 결론 지었습니다.


현재 알약에서는 해당 악성코드에 대하여 Trojan.Downloader.W97M.Gen로 탐지중에 있습니다. 




출처 :

http://securityaffairs.co/wordpress/61620/cyber-crime/carbank-bateleur-backdoor.html

https://www.proofpoint.com/us/threat-insight/post/fin7carbanak-threat-actor-unleashes-bateleur-jscript-backdoor



관련글 더보기

댓글 영역