상세 컨텐츠

본문 제목

러시아 해킹 그룹, 개선된 전략으로 전 세계 은행 노려

국내외 보안동향

by 알약(Alyac) 2019. 8. 22. 14:29

본문

Russian Hacking Group Targeting Banks Worldwide With Evolving Tactics


주로 구 소련 국가 및 주변 국가의 금융 기관을 노리는 것으로 알려진 러시아어를 구사하는 사이버 범죄 그룹 Silence APT가 최근에는 미국, 유럽, 아프리카, 아시아를 노리는 것으로 나타났습니다.


2016년 9월부터 활동해온 Silence APT 그룹은 방글라데시에 위치한 Dutch-Bangla Bank를 공격해 며칠 동안 ATM 현금 인출을 통해 3백만 달러 이상을 탈취하기도 했습니다.


Group-IB에 따르면, 이 해킹 그룹은 최근 몇 달간 공격 대상 지역을 크게 확장하고, 공격 캠페인 빈도도 늘렸으며 악성코드 또한 강화시켰습니다.


Silence APT 해킹 그룹은 그들의 TTP(Tactic, Technique, Procedure)를 업데이트했습니다.


보안 탐지를 피하기 위해 암호화 알파벳, 문자열 암호화, 봇, 메인 모듈에 대한 명령을 변경했습니다.


특히 전체적인 공격의 성공이 달려있는 첫 단계 모듈인 TrueBot 로더를 완전히 다시 작성했습니다. 


공격자는 PowerShell로 작성된 파일 리스 로더인 Ivoke와 EDA 에이전트 또한 사용하기 시작했습니다.


EDA는 PowerShell 에이전트로 명령 쉘 수행과 DNS 트래픽 터널링을 통해 해킹된 시스템을 제어하도록 설계되었으며 Empire 및 dnscat2 프로젝트를 기반으로 합니다.



<이미지 출처: https://thehackernews.com/2019/08/silence-apt-russian-hackers.html>



Silence는 처음 사용자의 시스템을 손상시키기 위해 매크로 문서, 익스플로잇, CHM 파일, LNK 바로가기 파일과 같은 악성 첨부파일을 포함하는 스피어피싱 이메일을 사용합니다.


일단 침투에 성공하면 정교한 TTP를 통해 추가 악성코드인 TrueBot 또는 파일 리스 PowerShell 로더인 Ivoke를 배치합니다. 


이 둘 모두 감염된 시스템에 대한 정보를 수집하여 중간 C&C 서버로 전송하도록 설계되었습니다.


이 그룹은 공격 타깃을 고르기 위해 "정찰 이메일"을 보내 활성화된 이메일 주소를 확인 후 이를 포함한 최신 "타깃 목록"을 만듭니다.


이 정찰 이메일은 보통 악성 페이로드는 없으며 사진이나 링크를 포함하고 있습니다.


Silence APT 그룹은 더 이상 러시아와 구 소련 국가에만 집중하지 않으며, 아시아와 유럽 전역에 확산되고 있습니다. 


2018년 11월, Silence는 처음으로 아시아 시장을 노렸습니다. Silence가 보낸 총 이메일의 수는 대략 8만 개입니다. 이들 중 절반은 대만, 말레이시아, 대한민국을 노리고 있었습니다.



<이미지 출처: https://thehackernews.com/2019/08/silence-apt-russian-hackers.html>



2018년 5월 ~ 2019년 8월 1일 사이에 발생한 Silence APT 그룹의 최신 악성 캠페인을 다룬 연구원들은 Silence가 탈취한 금액의 규모는 약 420만 달러로 이전에 비해 5배 이상 증가한 수치라고 밝혔습니다.


이 외에도, Group-IP의 연구원들은 TrueBot(a.k.a. Silence.Downloader)과 FlawedAmmyy 로더를 동일한 사람이 개발한 것으로 추측하고 있습니다. 


두 악성코드 모두 동일한 디지털 인증서로 서명되었기 때문입니다.

 

FlawedAmmyy 로더는 TA505와 관련이 있는 원격 액세스 트로이목마(RAT)입니다. 


TA505는 러시아어를 구사하는 해킹 그룹으로 2014년부터 발생한 스피어피싱 공격 및 다양한 대규모 공격에 연루되었습니다.


Group-IB의 연구원들은 Silence APT가 인도(2018년 8월), 러시아(2019년 2월, 6월), 키르기스스탄(2019년 5월), , 칠레, 가나, 코스타리카 및 불가리아(2019년 7월) 은행들을 성공적으로 공격했다고 밝혔습니다.


Silence APT에 대한 더욱 자세한 정보는 "Silence 2.0: Going Global"에서 확인하실 수 있습니다.


현재 알약에서는 해당 악성코드에 대해 'Trojan.Downloader.TrueBot, Trojan.Agent.Casdet, Trojan.Agent.Azden' 등으로 탐지 중에 있습니다.





출처:

https://thehackernews.com/2019/08/silence-apt-russian-hackers.html

https://www.group-ib.com/resources/threat-research/silence_2.0.going_global.pdf


관련글 더보기

댓글 영역