Friday, April 3, 2020

우편으로 USB 드라이브와 기프트 카드 발송하는 해커 그룹


FBI가 역대 최대라고 불릴 정도의 대단위 수사를 펼쳐 2018년 핵심 인물 세 명을 체포했던, 사이버 범죄 그룹 FIN7이 더 진화된 '사회공학(Social Engineering)
' 기법으로 출현했다. 아래 사진과 같이 Best Buy에서 우수 고객에게 보내는 것처럼, USPS(미국 우체국)를 통해 $50불 기프트 카드와 상품 목록이 담겼다고 속이는 USB 드라이브를 보낸 것이다. 선물은 보통 테디 베어(teddy bear)나 기프트 카드가 들어간다.


실제로 이 USB 드라이브에는 파워쉘(PowerShell) 명령어를 실행해서 공격자에 의해 제어되는 서버로부터 말웨어(Malware)를 가져오는 악성코드가 담겨 있다. USB 드라이브가 저장 장치로만 사용되던 시절은 갔다. 키보드와 마우스 같은 HID(Human Interface Device) 장치를 에뮬레이트 할 수 있어서, 악성코드를 심을 수 있다. 이를 HID 혹은 'USB 드라이브 바이(Drive-by, 혹은 Drive-by download) 공격'이라고 한다.

USB의 컨트롤러 펌웨어를 조작하는 방법으로, USB를 포맷하더라도 악성코드는 여전히 USB에 남길 수 있다. 유명한 2010년 이란 핵시설을 공격한 '스턱스넷(Stuxnet)' 웜 공격도 최초 감염은 USB 드라이브를 통해 이루어졌다. 

공격 플로우를 요약하면, 아래 이미지와 같다.
FBI는 공격자가 정찰(reconnaissance) 단계 후, 횡적으로 움직이면서(Lateral Movement) 관리자 권한을 찾는다고 경고했다.
Attack Flow

FIN7 그룹은 목적 달성을 위해서 아래와 같은 다양한 툴을 사용한다.

Metasploit, Cobalt Strike, PowerShell scripts, Carbanak malware, Griffon backdoor, Boostwrite malware dropper, and RdfSniffer module with remote access capabilities.

이런 USB 공격을 예방하기 위해서는, 우선 제어판을 통해 'USB 자동 실행(AutoPlay)'을 꺼두는 것이 좋다. 그리고, 혹시 길에 떨어진 USB 스틱을 사용하면 안 된다. 해커들이 뿌려놓은 것일 수 있다. 미드 '미스터 로봇(Mr. Robot
)'에 보면 이렇게 길에 USB 스틱을 뿌려서 해킹하는 장면이 나온다.
미국 국토안보부(DHS)에서 2011년 관련 실험을 한 적이 있는데, 정부나 정부 관련 시설 근처에서 USB를 주은 사람들의 60%가 이를 컴퓨터에 연결했다. USB 스틱에 DHS 로고가 있으면 사용 확률이 90%까지 올라갔다고 한다.


※ 악명높은 해커 그룹, FIN7 (aka, Carbanak, Cobalt)
FBI가 역대 최대라고 불릴 정도의 대단위 수사를 펼쳐 2015년부터 지불카드 정보와 금융 데이터를 해킹해온 유명 사이버 범죄 그룹 FIN7의 핵심 인물 세 명을 2018년 체포했었다.

FIN7은 2015년까지 3,600여 개 지역에서 6,500개가 넘는 POS 단말기를 침해한 것으로 알려져 있으며, 미국에서만 47개 주에서 피해를 일으켰다. 주로 피해를 입은 산업은 숙박업, 요식업, 게임 산업이었다. 그 외에도 FIN7은 영국, 프랑스, 호주 등에서 피해자를 양산했다.

FIN7이 전 세계에서 가장 공격적이고 수준 높은 공격자들 중 하나라며, 세계 곳곳에 작전 수행자들과 C&C 인프라를 배치하고 있다고 설명하고 있다. 또한 고급 멀웨어 툴과 공격 전략도 다량으로 보유하고 있음을 지적했다. 심지어 콤비 시큐리티(Combi Security)라는 유령 회사를 설립해 여러 피해자들을 속이기도 했다고 한다.

보안 업체 파이어아이(FireEye)는 2015년부터 FIN7을 추적해온 곳으로 “지불카드 관련 정보를 집요하게 노리는 집단”이라고 설명한다. 파이어아이의 금융 범죄 담당자인 킴벌리 구디(Kimberly Goody)는 “놀라울 정도로 정교한 소셜 엔지니어링 기술과 탐지 우회 기술을 바탕으로 짧은 시간 안에 크게 성장한 그룹이 바로 FIN7”이라며, “금융 기관을 주로 노리는 공격자들은 대부분 이런 식의 성장 패턴을 보인다”고 경고한다.

FIN7의 주된 공격 전략은 피싱 이메일이다. 다만 여느 피싱 공격과 달리 수준이 매우 높고 정교하게 만들어져 있어 많은 사용자가 속는다. 그리고 이들이 첨부한 워드 문서를 여는데, 그런 경우 엠베드 된 멀웨어가 활동을 시작한다. “표적화된 스피어피싱 공격에 매우 능숙합니다. 받는 사람이 열 수밖에 없도록 개인화된 메시지를, 급하다는 내용으로 보냅니다.”

예를 들어 한 번은 FIN7이 한 매장의 매니저에게 “돈이 지나치게 많이 청구된 것 같다”는 항의성 메일을 보내며 영수증을 첨부했다. 매니저 입장에서는 당연히 고객 불만 사항을 접수하고 검토할 수밖에 없었다. 또 다른 경우 식당 관리자에게 “식중독에 걸렸다”고 메일을 보내며 의사 소견서를 보내기도 했다. 물론 가짜 문서였다.


* 참고 자료 및 출처
Would You Exchange Your Security for a Gift Card? (Trustwave)
유명 공격 그룹 FIN7의 우크라이나인 일당 검거 (보안뉴스)
“보안 USB 활용한 사이버공격, 내부망 장악 노렸다” (보안뉴스)
USB가 'PC 해킹 구멍'이란 걸 아시나요? (지디넷코리아)
영화속 USB 해킹, 현실로…1분만에 시스템 지배 (디지털투데이)
[리뷰] 플러그앤Hack! USB 러버덕키 사용후기
USB 해킹 도구 Bash Bunny

No comments:

Post a Comment