시만텍이 발견한 바에 따르면, 방글라데시 중앙은행에서 8,100만 달러를 훔치고 베트남 Tien Phong Bank에서도 1백만 달러 이상을 빼내려 한 집단이 필리핀의 한 은행을 공격했습니다.
이 집단이 사용한 악성 코드가 필리핀의 한 은행에 대한 표적 공격에서도 사용되었습니다. 뿐만 아니라 여기에 사용된 일부 툴의 코드가 과거 Lazarus라는 보안 위협 그룹과 관련된 공격에 사용된 악성 코드와 유사합니다. 이러한 공격은 2015년 10월부터 발생한 것으로 보이는데, 이는 실패로 끝나긴 했지만 지금까지 발생한 침해 사고 중 가장 빠른 것으로 알려진 베트남 공격이 발생하기 2개월 전입니다.
방글라데시 중앙 은행이 공격을 받자 결제 네트워크인 SWIFT는 공격자들이 자금 이체 사기의 증거를 덮기 위해 악성 코드를 사용했다는 사실을 발견한 후 경보를 발효했습니다. SWIFT는 추가 경고를 발효하면서 이 악성 코드가 다른 은행에서도 유사한 방식으로 사용되었다는 증거가 있음을 밝혔습니다. 또한 이후에 베트남 Tien Phong Bank가 지난 4분기에 1백만 달러 이상의 자금을 이체하려는 금융 사기 시도를 차단한 사실도 공개했습니다. SWIFT는 이 두 번째 공격으로 미루어볼 때 은행을 노리는 "더 광범위한 고도의 적응형 캠페인"이 진행 중이라고 결론지었습니다.
또 다른 은행인 에콰도르의 Banco del Austro도 SWIFT 거래 사기 수법을 구사하는 공격자들에게 1,200만 달러를 잃은 것으로 알려졌습니다. 그러나 현재로서는 이러한 공격에 사용된 툴이나 아시아에서 발생한 공격과의 연관성 여부에 대해 밝혀진 사실은 없습니다.
공격자가 사용한 또 다른 툴 발견
시만텍은 동남아시아의 금융 기관을 노린 제한적인 표적 공격에서 Backdoor.Fimlis, Backdoor.Fimlis.B, Backdoor.Contopee의 3가지 악성 코드가 사용된 사실을 알아냈습니다. 처음에는 이러한 공격의 배후 동기가 불분명했으나, Trojan.Banswift(방글라데시 공격에서 SWIFT 거래를 조작하는 데 사용됨)와 Backdoor.Contopee 초기 변종 간의 코드 유사성이 단서를 제공했습니다.
Trojan.Banswift 샘플을 분석하는 과정에서 특별한 파일 지우기 코드가 발견되었습니다. 이 지우기 코드는 아래와 같은 몇 가지 특징이 있습니다.
- 함수에서 2가지 매개 변수, 즉 덮어쓰기할 파일의 경로 및 반복 횟수(최대 6회)를 사용합니다.
- 처음에는 대상 파일의 마지막 바이트를 0x5F로 덮어쓰기합니다.
- 6개의 "제어" 바이트가 제공되어 덮어쓰기 프로세스에 사용되는 바이트를 지정합니다.
그림 1. Trojan.Banswift 및 또 다른 Lazarus 툴에서 발견된 지우기 코드
이 코드는 여러모로 매우 독특합니다. 특히 흥미로운 사실은 "제어" 바이트의 정확한 조합을 포함한 또 다른 악성 코드가 있는지 검색했더니 방글라데시 공격을 분석한 최근 BAE 블로그에서 언급된 Backdoor.Contopee의 초기 변종 및 “msoutc.exe” 샘플에도 나타난 것입니다.
시만텍은 악성 코드군 간에 특별한 코드를 공유하고 Backdoor.Contopee가 이 지역 금융 기관에 대한 제한적인 표적 공격에 사용되므로 그 출처가 동일한 조직일 가능성이 있다고 보고 있습니다.
과거 공격 사례
Backdoor.Contopee는 이전에 Lazarus라는 광범위한 보안 위협 그룹의 공격자들이 사용한 바 있습니다. Lazarus는 2009년부터 발생한 일련의 공격과 연관되어 있는데, 미국과 한국이 주 표적이었습니다. 이 그룹은 Backdoor.Destover라는 매우 파괴적인 트로이 목마와 연결되었으며, Sony Pictures Entertainment에 대한 공격에서 이 트로이 목마가 사용되자 FBI가 경고를 발효하기도 했습니다. FBI는 북한 정부가 이 공격의 배후라는 결론을 내렸습니다.
이 그룹은 올해 초에 범산업적인 이니셔티브로 진행된 Operation Blockbuster의 대상이었는데, Operation Blockbuster는 주요 보안 벤더들이 인텔리전스와 리소스를 공유하면서 기업과 정부 기관이 Lazarus로부터 스스로를 지킬 수 있도록 지원하는 프로그램입니다. 그 일환으로 벤더들은 이 공격자들과 관련된 악성 코드 시그니처 및 기타 유용한 인텔리전스를 배포하고 있습니다.
계속되는 위험
추가 공격이 밝혀짐에 따라 이 조직이 지역 금융 기관을 겨냥하여 광범위한 작전을 벌이고 있음이 더욱 확실해졌습니다. 그로 인해 이 보안 위협에 대한 인식은 높아졌지만 초기 성공 사례로 인해 다른 공격 집단이 유사한 공격을 감행할 가능성도 있습니다. 은행과 기타 금융 기관은 경계를 늦추지 말아야 합니다.
보호
시만텍 및 노턴 제품은 아래와 같은 탐지 기술로 이 보안 위협을 차단합니다.
안티바이러스
*** 시만텍 제품 문의 : 최선화 차장 / 02-3468-2026 / sunhwa_choi@symantec.com