ATM을 노리는 새로운 북한 악성코드, 인도에서 발견돼

New North Korean malware targeting ATMs spotted in India

북한 해커들이 ATM 기기에 삽입된 지불 카드 데이터를 기록하여 훔치는 새로운 악성코드를 개발해 사용한 것이 발견되었습니다.

카스퍼스키의 연구원들은 ATMDtrack라 명명된 새로운 악성코드가 인도 은행 네트워크에 2018년 여름에 설치되었다고 밝혔습니다.

이 새로운 공격은 악성코드의 확장된 버전인 DTrack을 사용하여 인도의 연구 센터 또한 노렸습니다. 

DTrack은 금융 관련 악성 행위보다는 스파이, 데이터 탈취에 집중했으며 일반적인 RAT 기능들을 포함하고 있었습니다.

북한 정부의 지원을 받는 해커 그룹과 관련돼

연구원들은 DTrack 패밀리로 추적하는 이 악성코드 변종이 모두 지난 2013년 한국을 타깃으로 한 "DarkSeoul" 작전에 사용된 악성코드와 많은 유사점이 있다고 밝혔습니다.

이 공격은 북한 정부의 지원을 받는 유명 사이버 위협 그룹인 라자루스(Lazarus) 그룹의 소행인 것으로 추정됩니다.

라자루스 그룹은 미국 재무부에서 다양한 혐의로 제재를 가한 북한 해커 그룹 3개 중 하나입니다.

라자루스 그룹은 기업의 돈을 훔치고 무기 및 미사일 프로그램을 위한 기금 마련을 위해 은행 ATM 네트워크, 도박 사이트, 온라인 카지노, 가상화폐 거래소 등에 사이버 공격을 수행했습니다.

이달에도 발견된 DTrack 악성코드

게다가 DTrack은 라자루스 그룹의 가장 최신 작품 중 하나인 것으로 보입니다. 

DTrack은 2018년 여름, 처음으로 배포되었으며 가장 최신 샘플의 활동 내역은 2019년 9월입니다.

최신 DTrack 샘플은 아래의 작업을 수행할 수 있습니다.

- 키로깅

- 브라우저 히스토리 받아오기

- 호스트 IP 주소, 네트워크 및 활성화된 연결에 대한 정보 수집

- 실행 중인 프로세스 나열

- 모든 디스크 볼륨의 파일 나열

현재로써는 DTrack이 ATMDTrack의 진화된 버전인지, 메인 DTrack을 기반으로 ATMDTrack을 개발했는지는 확실하지 않습니다.

현재 알약에서는 해당 악성코드에 대해 'Backdoor.Agent.ATMDtrack'으로 탐지 중에 있습니다.

출처:

https://www.zdnet.com/article/new-north-korean-malware-targeting-atms-spotted-in-india/

https://securelist.com/my-name-is-dtrack/93338/