RevengeHotels 캠페인 발견 – 서비스 업계를 노리는 해커들

RevengeHotels campaign – crooks target the hospitality industry

카스퍼스키의 보안 전문가들이 타깃형 사이버 범죄 악성코드 캠페인인 RevengeHotels에 대한 보고서를 발행했습니다. 이 캠페인은 호텔, 호스텔, 서비스 및 여행 회사를 공격했습니다. 

전문가들에 따르면, 공격자는 2015년부터 활동을 시작했으나 2019년에 가장 왕성하게 활동했습니다. 

이 그룹은 주로 브라질에서 활동했으며, 전문가들은 호텔 수십 곳이 이 공격의 피해를 입은 것을 확인했습니다. 

카스퍼스키는 브라질의 8개 주에서 피해자를 발견했으며 아르헨티나와 볼리비아, 칠레, 코스타리카, 프랑스, 이탈리아, 멕시코, 포르투갈, 스페인, 태국, 터키에서도 이 공격이 발생했다고 밝혔습니다. 

이 사이버 범죄 조직의 목적은 손님과 여행객의 카드 데이터를 훔치는 것이었습니다. Booking.com 등 인기 있는 온라인 여행 에이전시에서 신용카드 데이터를 훔치려 시도하기도 했습니다. 

공격자들은 무기화된 워드, 엑셀, PDF 문서를 첨부한 스피어 피싱 이메일 캠페인을 실행했습니다. 일부 공격에서는 RevengeRAT, NjRAT, NanoCoreRAT, 888 RAT 등의 커스텀화 된 버전을 전달하기 위해 CVE-2017-0199 취약점이 악용되었습니다. 

피싱 메시지의 퀄리티는 꽤 좋았습니다. 공격자는 실제 회사로 위장하기 위해 스펠링이 약간 다른 도메인 주소를 사용했습니다.

<이미지출처: https://securelist.com/revengehotels/95229/>

“첨부된 파일인 Reserva Advogados Associados.docx (Attorneys Associates Reservation.docx)는 매크로 코드를 실행하기 위하여 템플릿 인젝션을 통해 원격 OLE 오브젝트를 드롭하는 악성 워드 파일이었습니다. 원격 OLE 문서 내 매크로 코드는 최종 페이로드를 다운로드 및 실행하는 PowerShell 명령을 포함하고 있었습니다.” 

“RevengeHotels 캠페인에서 다운로드한 파일은 Yoda 난독화툴로 보호된 .NET 바이너리였습니다. 이 파일을 언패킹 후 해당 코드가 상용 RAT인 RevengeRAT인 것을 확인할 수 있었습니다.” 

또한 연구원들은 공격자가 신용 카드 데이터를 훔치기 위해 사용자가 브라우징 중인 웹페이지를 모니터링하는 추가 모듈인 ScreenBooking을 개발한 것을 발견했습니다. 

2016년 발견된 공격 중 다운로드되는 파일은 백도어, 스크린샷 캡처 모듈 2개로 나뉘어 있었습니다. 시간이 지난 후 두 모듈은 클립보드에서 데이터를 수집하고 스크린샷을 캡처하는 하나의 백도어 모듈로 통합되었습니다. 

카스퍼스키는 캠페인의 배후에 있는 또 다른 그룹인 ProCC 또한 추적했습니다. 이들은 RevengeHotels보다 더욱 커스텀화 된 백도어를 사용했습니다. ProCC 해커들은 그들의 백도어를 처음부터 직접 개발했으며, 클립보드와 프린터 스풀러에서 데이터를 수집하고 스크린샷을 캡처할 수 있는 기능을 포함하고 있었습니다.

또한 범죄자들은 크리덴셜 및 지불 카드 데이터를 캡처하기 위해 호텔 관리 시스템과 같은 신뢰할 수 있는 소스를 집중적으로 공격했습니다. 이들은 또한 추가적인 수익을 올리기 위해 프런트 데스크로의 원격 접속을 유지하고 있었습니다. 

“RevengeHotels는 최소 2015년부터 활성화되기 시작한 캠페인으로 여러 그룹이 기존 RAT 악성코드를 이용하여 서비스 업계의 회사를 감염시키려 시도했습니다. 이 공격은 주로 브라질 내 피해자들을 노렸지만 라틴 아메리카 및 다른 국가까지 공격을 확장시켰습니다.” 

“안전한 여행을 위해서는 호텔 예약 시 OTA를 통한 가상 지불 카드를 사용할 것을 권장합니다. 보통 이러한 카드는 1회 사용 후 만료되기 때문에 안전합니다. 호텔에서 체크아웃 시 돈을 지불할 경우 애플 페이, 구글 페이 등과 같은 가상 지갑을 사용하는 것이 좋습니다. 이러한 방법을 사용할 수 없는 경우, 호텔의 시스템이 안전하지 확실히 알 수 없으므로 덜 중요한 신용카드를 사용하는 것이 좋습니다.”

알약에서는 해당 악성코드에 대해 "Trojan.MSIL.Agent, Trojan.GenericKD.31482026, Trojan.MSIL.Bladabindi" 로 탐지중입니다.

※ IoC

74440d5d0e6ae9b9a03d06dd61718f66

e675bdf6557350a02f15c14f386fcc47

df632e25c32e8f8ad75ed3c50dd1cd47

a089efd7dd9180f9b726594bb6cf81ae

81701c891a1766c51c74bcfaf285854b

출처 :

https://securityaffairs.co/wordpress/94500/cyber-crime/revengehotels-campaign-hospitality-industry.html

https://securelist.com/revengehotels/95229/