사이버 범죄 그룹 FIN7, 새로운 악성코드 공격 캠페인 시작

Despite arrests, FIN7 launched 2018 attack campaigns featuring new malware

FIN7은 지난해 여러 명의 조직원이 체포된 후에도 건재하다는 신호를 보이고 있습니다. 

"Astra"라고 불리는 새로운 관리자 패널 툴과 이전에는 볼 수 없었던 새로운 악성 프로그램 샘플이 발견되었기 때문입니다.

이 악성 행위를 발견한 FlashPoint 연구원들은 2018년 5월부터 7월까지 Astra관련 활동을 관찰했습니다. 

전문가들은 FIN7 그룹이 적어도 2015년부터 유럽과 호주 등 47개 주에서 100여 개 미국 기업을 대상으로 활발한 사이버 범죄 행위를 했다고 전했습니다.

지난해 8월 미국 법무부는 FIN7의 핵심으로 알려진 우크라이나 남성 3명이 체포되었다고 보도했습니다.

이들은  Combi Security라는 회사 뒤에서 3,600개 이상의 사업장에 6,500개 이상의 개별 판매시점 단말기에 침투하여 피해를 입혔습니다.

또한, 다른 금융 사이버 범죄를 일으킨 카르바낙(Carbanak) 캠페인과 연계된 백도어를 사용하여 미국 기업들로부터 1,500만장 이상의 결제 카드 기록을 훔쳤습니다

그러나 FIN7 사이버 범죄 조직원의 체포에도 불구하고 기업과 고객 지불 카드 정보를 노린 공격은 멈추지 않았습니다.

새 공격 패널 및 악성 소프트웨어 샘플

FlashPoint 분석가들은 최근 FIN7 그룹이 Astra라고 부르는 캠페인에 사용하는 새로운 공격 패널을 발견했습니다. 

PHP로 작성된 패널은 스크립트 관리 시스템으로서 공격 스크립트를 손상된 컴퓨터로 밀어 넣는 기능을 가지고 있습니다.

분석가들은 Astra 패널의 백엔드 PHP 코드에서 Combi Security 회사에 대한 흔적들 발견했으며, 이를 악성 캠페인과 연결했습니다.

Combi Security 회사는 러시아와 이스라엘에 본부를 둔 악성코드 침투 테스트 및 보안 서비스 회사입니다.

전문가들은 FIN7그룹이 다른 해커들을 사이버 범죄 작전에 영입하기 위해 Combi Security를 합법적인 사업체인 것처럼 위장했다고 언급했습니다.

공격자는 악성 첨부 파일이 포함된 피싱 이메일을 통해 대상 시스템에 대한 공격 시작점을 확보합니다.

이메일은 산업별로 특정되어 있으며 피해자가 메시지를 열고 첨부된 악성 문서를 실행하도록 유도하기 위해 메일 내용이 조작되었습니다.

악성 문서 중 하나는 SQLRat이라고 명명했는데, 이전에 볼 수 없었던 악성 행위 방식으로 악성 프로그램들이 호스트 시스템에서 파일을 삭제하고 SQL 스크립트 실행을 확산시킵니다. 

<https://www.flashpoint-intel.com/blog/fin7-revisited-inside-astra-panel-and-sqlrat-malware/>

SQL 스크립트를 사용하는 것은 기존의 악성 소프트웨어 방식과 달리 인공적인 산출물을 남기지 않는다는 점이 특징입니다

일단 공격자들의 코드로 파일이 삭제되면 법의학적으로 복구할 수 있는 것은 아무것도 남지 않습니다. 

이 기술은 FIN7과 관련된 과거의 악성 캠페인에서는 관찰되지 않았던 점입니다.

두 번째 새로운 악성 프로그램 샘플은 DNSbot이라는 멀티 프로토콜 백도어입니다. DNSbot은 손상된 기기 사이에서 명령을 교환하고 데이터를 집어넣는데 사용됩니다. 

주로 DNS 트래픽을 통해 작동하지만 HTTPS나 SSL 같은 암호화된 채널로 전환할 수도 있습니다.

캠페인은 매일 2개의 스케줄링된 작업 항목을 생성하여 시스템에 계속 상주할 수 있도록 설정합니다.

악성 코드는 FIN7 그룹 공격자에 의해 제어되며, FIN7 그룹의 향후 공격에 이용될 수 있습니다.

현재 알약에서는 해당 악성코드에 대해 Trojan.Downloader.DOC.gen, Trojan.GenericKD.31053837, Trojan.GenericKD.31672719, Trojan.Agent.Reconyc.A으로 탐지 중에 있습니다.

출처:

https://www.scmagazine.com/home/security-news/despite-arrests-fin7-launched-2018-attack-campaigns-featuring-new-malware/

https://www.flashpoint-intel.com/blog/fin7-revisited-inside-astra-panel-and-sqlrat-malware/