러시아 해커조직 Lurk와 Angler,Necurs 봇넷의 관계

러시아 해커조직 Lurk와 Angler,Necurs 봇넷의 관계

지난 5월, 러시아에서 해커조직 Lurk가 체포된 후, Angler Exploit Kit의 활동이 중단되었습니다.

러시아 정부는 4,500만 달러를 탈취한 해커조직을 검거하였으며, 그 조직의 인원수는 50명에 달했습니다. 이들의 이름은 Lurk로, 2011년부터 활동했습니다. Lurk는 몇몇 조직과 사용자들을 타겟으로 사이버 공격을 진행하였으며, 약 1년반 전 공격대상을 은행으로 변경했습니다. 이들은 은행, 금융기관 및 기업들로부터 4,500만 달러가가 넘는 금액을 탈취했습니다. 

그런데 이 해커조직이 체포된 후, Angler의 업데이트가 갑자기 중단되고 소리소문없이 사라졌습니다. 1주일 후, Necurs 봇넷 역시 활동을 중단했으나, 3주 후 재개했습니다.

Lurk조직, Angler EK, Necurs 봇넷과의 관계

Lurk 뱅킹 악성코드는 125개의 C&C 서버를 이용하였으며, 그중 85%는 john[.]bruggink@yahoo[.]co[.]uk라는 이메일 주소로 등록되어 있었습니다.

Lurk 악성코드는 매우 복잡하고 널리 퍼졌으며, 다양한 모듈을 탑재한 다기능 악성코드입니다. 또한 해당 악성코드가 침투한 PC의 루트 권한을 획득할 수도 있습니다. Lurk 악성코드는 매우 독특하며, 이는 침투한 PC가 아닌 RAM에 저장되는 특징을 갖고 있습니다.

작년 2월에 발간된 한 연구 보고서에 따르면, 동일한 이메일 주소가 사이버 공격 과정에서 Angler payload delivery domains에 등록되었으며 Bedep 악성코드를 유포하였습니다. 또한 올 2월에 발표된 보고서에도 동일한 이메일 주소로 일부 Necurs 봇넷의 C&C 서버 도메인 주소를 등록했습니다.

Lurk 해커조직과 악성 프로그램

<이미지 출처 : http://news.softpedia.com/news/there-is-a-connection-between-the-lurk-arrests-angler-and-the-necurs-botnet-506164.shtml>

Necurs 봇넷이 활동을 재개했지만, Angler는 여전히 활동하지 않고 있습니다. Necurs 봇넷은 Dridex 뱅킹 악성코드와 Locky랜섬웨어의 주요 근원지이기 때문에 다른 해커조직들에 의해서 활동이 재개된 것이라고 추측하고 있습니다. 

각기 다른 봇넷 그룹들은 서로 협력하고 연락하고 있는 것으로 추측됩니다. Dridex 추종자들은 약 3주의 시간을 들여 Lurk 그룹이 체포된 후에 발생한 문제들을 해결했습니다. 

john[.]bruggink@yahoo[.]co[.]uk 메일 주소는 다른 악성코드들과의 관련성을 잘 보여주고 있지 않지만, 그렇기 때문에 더욱 근원 같아 보입니다. 러시아 당국의 발표 후, 그들은 Angler와 Lurk 그룹의 관련성을 우연히 발견하였습니다. 그러나 Nucurs 봇넷과의 직접적인 관련성은 알아내지 못했으며, 로그상 몇몇 관련 서버만 확인할 수 있었습니다. 

러시아 당국에게는 현재 세계에서 가장 전문적이고 조직적인 Dridex 봇넷을 근절해야하는 중대한 임무가 주어져 있습니다. 

※ Dridex란

Dridex는 2014년에 출현했으며, Gameover Zeus(GOZ), Feodo, Cridex, Bugat등을 계승한 악성코드라고 인식되고 있습니다. 다양한 기술을 통해 사용자들의 개인정보와 금융정보를 탈취하며, 피싱공격도 진행해왔습니다. 주로 워드파일로 가장한 첨부파일이 포함된 스팸메일을 통하여 유포되었으며, 미국, 루마니아, 프랑스, 영국 등에서 활동했습니다.

 

출처 :

http://news.softpedia.com/news/there-is-a-connection-between-the-lurk-arrests-angler-and-the-necurs-botnet-506164.shtml