핀테크(FinTech) 업계를 노리는 새로운 파이썬 트로이목마 발견

New Python-scripted trojan malware targets fintech companies

 

이메일 주소, 비밀번호, 기타 민감 정보를 훔치기 위해 핀테크(FinTech) 기업을 노리는 캠페인을 통해 새로운 트로이목마 악성코드가 배포된 것으로 나타났습니다.

 

이 악성코드는 정식 애플리케이션에서 추출한 코드 내부에 포함된 상태로 확산되고 있었습니다.

 

Evilnum으로도 알려진 이 APT 그룹은 2018년 처음 등장했으며 대부분 유럽과 영국에 위치한 핀테크 기업을 노리며 도구와 전략을 수시로 변경해 공격의 성공률을 높였습니다. 일부 피해자는 미국과 호주에서 발생하였습니다.

 

Evilnum의 활동은 자바스크립트, C#로 작성된 다양한 컴포넌트를 사용해왔으며, 현재는 공격을 위한 새로운 도구를 배포하기 시작했습니다.

 

이 새로운 도구는 파이썬 스크립트로 작성된 원격 액세스 트로이목마(RAT)로 지난 몇 주 동안 실행된 새로운 타깃 공격에 사용되었습니다.

 

이를 발견한 Cybereason 연구원은 해당 악성코드를 PyVil RAT로 명명했습니다. 공격자는 이 악성코드를 통해 키로깅 및 스크린샷 촬영을 통해 은밀히 기업 정보 및 실행 중인 윈도우 버전, 설치된 안티바이러스 제품, USB 기기 연결 여부 등 감염된 시스템의 정보를 훔칠 수 있습니다.

 

이전 Evilnum 공격은 고도로 타깃화된 스피어피싱 이메일을 사용했습니다. PyVil을 배포하는 캠페인은 이전처럼 ZIP 파일을 배포하는 대신 이메일에 PDF로 위장한 LNK 파일을 첨부합니다.

 

이 피싱 캠페인은 공과금 청구서, 신용카드 명세서, 심지어 운전 면허증 사진까지 포함하여 은행과 관련된 신원 확인 문서인 것으로 속입니다.

 

파일이 열리면 감염된 기기는 Evilnum의 C&C 서버에 연결되며 시스템에 트로이목마가 드롭됩니다. 이 모든 작업은 피해자가 확인하지 못하도록 은밀히 진행되며 PyVil에 명령 및 잠재적 추가 기능을 전달할 수 있습니다.

 

이 트로이목마는 합법적인 소프트웨어의 코드 내부에 포함되어 있기 때문에 여러 계층으로 난독화되어 있어 이러한 공격이 가능한 것으로 나타났습니다.

 

“그들의 전략은 탐지를 피하고 지속성을 유지하는 등 여러 방면으로 유리합니다. 합법적인 코드를 공격에 악용하는 경우는 보통 수준이 높은 공격자에게서 목격됩니다."

 

Evilnum의 배후에 있는 공격자의 신원은 확실하지 않지만, 연구원들은 공격이 고도로 타깃화되어 있으며 전략이 계속적으로 변경되는 것으로 보아 자금이 풍부하며 고도로 전문적인 캠페인으로 추측된다고 밝혔습니다.

 

Evilnum은 여전히 활동을 계속하고 있으며 이들은 곧 다시 핀테크 조직을 노리는 도구와 기술을 또 다시 변경할 것으로 추측됩니다.

 

“이 악성코드 샘플은 여전히 목격되고 있으며 공격자의 인프라는 아직까지 활성화된 상태입니다. 이러한 공격으로부터 시스템을 보호하기 위한 가장 좋은 방법은 보안 교육과 보안 환경 개선입니다. 직원들에게 피싱 이메일을 열지 말고 의심스러운 웹사이트에서 정보를 다운로드하지 않도록 교육하는 것이 중요합니다.”

 

 

 

 

 

출처:

https://www.zdnet.com/article/new-python-scripted-trojan-malware-targets-finance-sector/

https://www.cybereason.com/blog/no-rest-for-the-wicked-evilnum-unleashes-pyvil-rat