총 2,155건
안랩, 사우디아라비아 사이버 보안 기업 ‘SITE’와 조인트벤처(JV)설립 계약 체결
- 신설 JV, 사우디 내 공공 기관 및 기업에 ‘안랩 XDR’ 및 네트워크 보안 제품군 등 제공 예정
- 향후 공급 솔루션•서비스 범위 확장, 사우디아라비아를 비롯한 중동 기타 지역 및 북아프리카까지 해외사업 확대 계획
안랩(대표 강석균, www.ahnlab.com)이 사우디아라비아 기업 SITE(Saudi Information Technology Company, https://site.sa/en)와 사이버 보안 합작법인(JV, Joint Venture)을 설립한다.
안랩은 사우디아라비아 공공투자기금(PIF, Public Investment Fund)이 전액 출자한 사이버 보안 및 클라우드 공급 기업인 SITE(Saudi Information Technology Company)와 전략적 파트너십 구축을 위한 현지 합작법인(JV) 설립 계약을 체결했다고 밝혔다.
이번 계약 체결로 안랩과 SITE는 공동출자(안랩:25%, SITE:75% 비율)의 형태로 사우디아라비아 현지 합작법인(JV)을 설립하기로 했으며, 올해 상반기 내 설립을 완료할 계획이다.
합작법인(JV)은 사우디아라비아 내 공공기관 및 기업에 ▲클라우드 및 AI 기반 SaaS형 보안 위협 분석 플랫폼 ‘안랩 XDR’ ▲네트워크 보안 제품군 등 안랩의 솔루션•서비스를 제공한다. 추후 생성형 AI 보안, IoT/OT 보안 등 솔루션 및 서비스의 범위도 확대할 예정이다.
양사는 이번 합작법인(JV) 추진으로 SITE가 보유한 사우디아라비아 공공시장 고객을 포함해 중동 및 북아프리카 지역까지 사이버 보안 비즈니스를 확대해 나갈 계획이다.
한편, SITE는 이번 JV 설립과 함께 공동 사업 협력 강화를 위해, SITE의 100% 자회사인 SITE Ventures(SITE 벤처스)가 안랩 지분 10%를 인수(제3자배정 유상증자)하는 투자를 단행한다. 투자 금액은 약 744억원, 납입 예정일은 6월 27일이다(4월 1일 관련 공시 참고).
안랩 강석균 대표는 "이번 합작법인 설립은 양사가 보유한 경쟁력에 기반한 장기적 협력으로 중동지역에서 함께 성장해 나가자는 의미"라며, "이번 사업으로 안랩의 사이버 보안, 클라우드, AI 기술력을 사우디아라비아를 포함한 중동지역에 알리는 동시에 글로벌 매출 성장에 박차를 가할 수 있을 것으로 기대한다"고 말했다.
SITE의 CEO인 사드 알라부디(Dr. Saad Alaboodi)는 "이번 새 JV는 SITE가 진행하고 있는 다양한 주요 투자 중 하나다"라며, "우리는 시장의 요구에 맞춘 최고수준의 사이버보안 기술을 사우디아라비아와 주변 지역에 도입하고, 공공 및 민간 영역 고객에 최고의 서비스를 제공하기 위한 전략적 역할을 이어나갈 것"이라고 말했다.
[보충자료] SITE(Saudi Information Technology Company)
2017년 설립된 Saudi Information Technology Company(SITE)는 사우디아라비아 국부펀드(Public Investment Fund, PIF)가 소유하고 있는 기업이다. SITE는 국가적 역량과 국제적 파트너십을 통해 사이버 보안, 클라우드 컴퓨팅, 시스템 통합 및 인적 자본 개발 분야 등에서 보안 설계 기반의 혁신적인 제품 개발에 기여하고 있다.
온라인 스캠 시리즈 2편 – 스캠의 종류와 몸캠 피싱
안랩 시큐리티 인텔리전스 센터(AhnLab SEcurity intelligence Center)에서는 최근 사이버 위협의 화두로 떠오른 온라인 스캠을 분석한 시리즈를 연재한다. 이번 글에서는 지난 월간안 3월호에 수록한 1편에 이어, 2편을 게시한다.
1편 바로가기: 온라인 스캠 시리즈 1편 – 스캠이란 무엇인가?
이런 문자 메시지가 스캠이다!
국가마다 디지털 접근성과 문화가 다르기 때문에 스캐머(scammer)들이 활용하는 채널도 조금씩 다르다. 그럼에도 불구하고, 문자 메시지(SMS)는 대한민국을 포함한 아시아 8개국에서 공통적으로 Top 3에 뽑혔다. 글로벌 안티 스캠 얼라이언스(GASA)가 발간한 ‘2023년 글로벌 스캠 보고서(Global State of Scams Report 2023)’에 따르면, 문자 메시지(58%)는 전 세계에서 전화(61%) 다음으로 많이 사용되는 스캠 접근 채널이었다.
독자들 중에 [그림 1]과 같은 문자 메시지를 받은 적이 있다면, 이는 모두 문자 메시지를 이용한 스캠이다. 스미싱(Smishing) 또는 SMS 피싱이라고도 한다. 메시지 내용은 대부분 누군가를 사칭하여 즉각적인 확인을 요구하거나 호기심을 불러 일으키는 내용이다.
[그림 1] 스캠 문자 메시지
[그림 2]는 2023년 4분기 기준, 안랩 모바일 보안 제품을 통해 수집한 스캠 문자 메시지 현황이다.
[그림 2] 2023년 4분기 안랩 모바일 제품 수집 스캠 메시지 현황
가장 많이 확인된 스캠 문자 메시지는 단기 알바(61.2%)로 위장한 메시지였다. 누구나 손쉽게 큰 돈을 벌 수 있다는 내용으로 현혹하지만 실제로는 스캠이다. 두 번째는 카드사 사칭(17.6%)이었다. 카드 신규 발급, 결제 승인 등의 내용으로 카드사를 사칭하여 고객 센터로 전화를 유도하는데 이 역시 보이스 피싱으로 이어지는 금융 사기다. 이 밖에, 공공기관 사칭, 가족 및 지인 사칭 스캠도 다수 확인되었다. 해당 통계는 분기마다 유형 및 분포에 차이가 있는데, 이는 세금 납부, 명절 등 특정 시즌 이슈가 있거나 공격자들이 전략을 변경하기 때문이다.
다음 [표 1]는 2023년 하반기부터 현재까지 확인된 실제 스캠 메시지 사례들 중 일부이다. 많은 유형의 메시지들이 기관 및 서비스를 사칭했다.
상세 항목 |
공격에 활용된 사례 |
단기 알바 위장 |
안녕하세요~ 알바모집 매니저입니다. 남성.여성분 모두 가 간편하고 쉽게 시작 해볼수 있는 알바.부업.주업 입니다~ 근무시간 은 자율적 으로 근무가 가능합니다~ ( 본인이 원하는 장소 또는 집 에서도 근무 가능합니다! )#당일지급! #여성우대! #자택근무 (후략) |
투자 유도 |
90대어르신도가능 공공기관도인정 유명인다수 20분으로평생행복하게사세요 dokdo.in/E*** |
카드사 결제 사칭 |
승인번호[0598] 385,150원 처리완료 [삼성페이] 고객센터:052-227-**** |
공공기관 사칭 |
[교통경찰24(이파인)] 도로법위반 벌점 보고서(발송) 내용확인 hxxp://slc.pg5s.mom |
가족 및 지인 사칭 |
엄마 나 폰고장나서 잠간컴퓨터로연락했어 hxxp://s.id/1IcWP 이거택배조회어플인데 설치하고 허용해서 확인좀해줘 엄마 |
택배 배송 사칭 |
[대한통운]고객님의 구매상품 16-18시 배송될 예정입니다. 내용확인 hxxps://v09.an1s.best |
기타 |
[국제발신] 내 사랑 저는 휴대폰을 잃어버렸습니다. 새 LINE ID 추가: an199** |
[표 1] 스캠 문자 메시지 사례
참고로, 현재도 접속 가능한 링크 및 개인정보는 일부를 (*)로 마스킹 처리하였다.
스미싱을 당하면 생기는 일
스미싱 공격을 감행하는 스캐머는 문자 메시지로 피해자에게 직접 연락하여, 의도한 행동을 피해자가 자발적으로 하도록 유도한다. 이들이 유도하는 행동은 금전 투자, 정보 입력, 스캐머 연락, 앱 설치 등이 있다. 이로 인해 발생할 수 있는 피해는 [표 2]와 같다.
유도 행동 |
결과 |
금전 투자 |
재정 손실 |
정보 입력 |
개인정보 탈취, 비인가 접근 피해, 대상 검증 후 악성 앱 설치 |
스캐머 연락 |
보이스 피싱 등 금전 피해, 악성 앱 설치 |
앱 설치 |
비인가 접근 피해, 정보 탈취, 통제 권한 탈취 |
[표 2] 스캠 문자 메시지 피해 유형
다음으로 위 유형 중 ‘금전 투자’와 ‘앱 설치’를 유도하는 공격에 관한 내용을 살펴본다.
1. 금전 투자
메시지
90대어르신도가능 공공기관도인정 유명인다수 20분으로평생행복하게사세요 dokdo.in/E*** |
위 메시지 링크를 클릭하면, 단기간에 고액을 벌 수 있다는 내용의 광고성 웹 페이지로 이동한다. 웹 페이지는 신뢰도를 높이기 위해 유명 연예인 사진을 무단으로 도용 및 합성하였으며, 가짜 수익 인증 내용을 다수 포함하고 있다. 이후, 공격자는 모바일 메신저 앱으로 1:1 대화를 시도한다. 그리고 사기성 거래소 웹사이트 가입과 투자금 입금을 유도한다. 거래소는 빅테크 기업 메타(Meta)의 로고를 무단 도용하였다.
공격자는 피해자가 신뢰감을 갖도록 하기 위해, 초기 소액 투자금에 대해서는 약속한 수익금을 제때 제공한다. 하지만 일정 수준의 신뢰가 쌓이면 본격적으로 큰 금액을 요구하고 이를 편취한다.
[그림 3] 금전 투자 유도 스캠 페이지 (1)
메시지
▶청약가능한 공모주가 있습니다 엔젤**틱스 선착순배정 사전신청 hxxps://angel*ipo.net* |
또한, 위 메시지처럼 상장 예정인 기업을 사칭하고 존재하지 않는 ‘특별’ 공모주 매수를 유도하기도 한다. 스미싱 링크의 웹 사이트는 실제 기업의 것과 완벽히 똑같이 만들었으며, 공모주 신청을 위한 개인 정보 입력란이 있다는 것이 유일한 차이점이다.
[그림 4] 금전 투자 유도 스캠 페이지 (2)
2. 앱 설치
메시지
[교통경찰24(이파인)] 도로법위반 벌점 보고서(발송) 내용확인 hxxp://slc.pg5s.mom |
해당 메시지는 공공기관을 사칭해 피해자가 관심 가질만한 내용을 보내 문자 내 링크를 클릭하도록 유도한다. 피해자는 믿을만한 화면을 보고 별 의심 없이 ‘앱 다운로드’ 혹은 ‘내용 확인하기’ 등의 버튼을 클릭하여 악성 앱을 설치한다. 다운로드 되는 앱 아이콘 역시 공공기관 아이콘을 위장한다.
일부 앱은 공식 앱 스토어 (Google Play 또는 애플 App Store) 화면을 모방하여 설치를 유도한다. 피해자는 공인 앱 스토어를 통해 앱을 설치하는 것으로 착각하기 때문에, 악성 앱을 설치했다는 것을 인지하지 어렵다. 특히, 레이아웃, 리뷰 등 앱 스토어 화면 구성을 그대로 재현하여 피해자들이 속기 쉽다. 아래는 조작된 앱 스토어 화면이다. 아이폰이 스캠 앱 위협으로부터 안전하다는 말은 사실이 아니다.
[그림 5] 공공기관 사칭 스미싱 페이지
악성 앱은 피해자의 휴대전화에서 다양한 정보를 수집하여 공격자에게 전송한다. 휴대전화는 다양한 개인정보가 저장되어 있을 뿐만 아니라 문자 메시지를 통한 본인 인증 수단으로도 쓰이고 있다. 공격자는 악성 앱을 설치한 피해자 휴대전화 정보에 무단으로 접근해 이를 탈취할 수 있다.
예를 들어, 공격자는 인증 번호가 수신된 문자 메시지를 가로채거나 보냄으로써 대신 기기에 대한 인증을 받을 수 있다. 뿐만 아니라 앱 기능에 따라 화면 녹화, 녹음, 카메라 촬영, 문자 메시지 전송 등 휴대전화 통제권을 완전히 가져갈 수도 있다. 실제로 스미싱으로 악성 앱을 설치한 뒤 정보를 탈취하여, 피해자에게 의도치 않은 고액 결제 피해를 입힌 스캠 사례도 존재한다.
대한민국 보이스 피싱 현황
다음으로, 보이스 피싱에 대해 알아보자.
대한민국에서 발견되는 보이스 피싱은 독특하다. 일부 개인 행각이 아니며, 광역적이고 조직적인 범죄다. 보이스 피싱 공격자들은 대포통장, 대포폰, 콜센터, 자금 세탁 등 여러 복잡한 준비 과정을 거쳐 정교한 스캠 시나리오를 만든다. 보이스 피싱 과정에서 이용하는 악성 앱 또한 기술 수준이 높은 편이다. 대한민국 경찰과 금융감독원, 그리고 금융사들이 연합해 대항하고 있지만, 보이스 피싱 조직 또한 이에 대응해 계속해서 다른 방식으로 변화하고 있다. 이는 다른 나라에서는 좀처럼 보이지 않는 방식의 스캠이다.
보이스 피싱 공격자들은 스미싱 문자 메시지로 피해자가 먼저 전화하도록 유도하거나 피해자에게 직접 전화를 걸어 접근한다. 이들은 금융 감독 기관이나 검찰, 경찰, 금융사 등 피해자가 신뢰하는 기관을 사칭한다. 많은 보이스 피싱이 악성 앱을 이용하는데, 공격자들은 각종 상황을 꾸며서 피해자가 전화를 끊지 않고 앱을 설치하게 한다. 안랩에서는 이러한 보이스 피싱 앱을 카이시(Kaishi)라 부른다. 카이시의 핵심 기능은 ▲통화 조작 ▲통화 연결 음성 조작 ▲사용자 통화 화면 조작 ▲통화 기록 조작 등이 있다.
피해자는 자신이 실제 금융사나 기관과 통화를 했다고 착각하게 된다. 휴대전화 화면에도 그렇게 표시되고 통화 연결 음성도 해당 금융사에서 제공하는 것이 맞기 때문이다. 그러나 이 모든 것은 카이시에 의해 조작된 것이다. 실제로는 보이스 피싱 조직 콜센터와 통화한 것이다.
2024년 확인된 보이스 피싱 앱 중에는 보이스 피싱 차단 앱 ‘피싱 아이즈’과 ‘시티즌 코난’을 사칭한 사례도 있었다. 보이스 피싱 앱이 보이스 피싱 차단 앱을 사칭한 것이다. 공격자는 피해자가 무엇을 신뢰하는지 잘 알고 있으며, 이를 역이용해 인증 번호를 입력해야만 앱을 다운 및 설치할 수 있도록 속임수를 사용했다.
또한, 한 가지 놀라운 사실은 대출이나 투자 정보를 빌미로 금융 사기에 활용되는 일부 앱들은 공식 앱 스토어에 등록되어 있다. 일반적으로, 공식 앱 스토어에 등록되어 있는 앱은 정상적이고 합법적이라 생각한다. 이들이 공식 앱 스토어에 업로드 되어 있는 이유는 악의적인 행위에 활용되지만 기능상 명확한 악성 행위가 없고, 요구하는 정보나 기능면에서 정상 앱과 뚜렷한 차이가 없기 때문이다. 이를 악용해 공격자는 앱 스토어 등록 정책을 교묘하게 비껴간다.
이러한 앱들은 사용자가 직접 앱 스토어에서 검색해 설치되는 경우도 있지만, 대부분 공격자들의 거짓 정보에 속아 설치한다. 공격자들은 해당 앱 설치를 유도하기 위해 온라인 커뮤니티나 소셜 미디어, 모바일 메신저 등을 이용한다.
다음은 공식 앱 스토어에 실제 업로드 되었던 악성 앱 사례들이다.
1. 대출 위장 사기 앱
이 앱들은 고금리 대출이나 대출 중개 등을 명목으로 피해자의 정보를 수집한다. 수집하는 정보는 휴대전화 디바이스 정보, 신분증 사진, 계좌 번호 등이다. 정상 대출 앱에서도 유사한 절차로 사용자에게 정보 입력을 요구하고 수집하기 때문에 진위를 판단하기 어렵다. 공격자는 수집한 정보를 기반으로 피해자를 협박하여 자금을 탈취하기도 한다. [그림 6]은 Google Play 앱 스토어에서 ‘대출’ 또는 ‘Loan’으로 검색했을 때 확인된 대출 관련 사기 앱이다. 현재는 모두 삭제되었다.
[그림 6] 앱 스토어에 업로드 되었던 대출 위장 사기 앱
2. 투자 유도 사기 앱
공격자는 스미싱이나 소셜 미디어 광고로 투자자를 모집한 뒤 리딩방으로 안내하거나 1:1 대화를 통해 특정 앱 설치와 가입을 유도하기도 한다.
[그림 7] 앱 스토어에 업로드 된 투자 유도 사기 앱
이 앱은 거래소 또는 투자 정보 앱으로, 주식, 가상화폐 등에 대한 시세나 추천 종목 정보를 제공하며 Google Play나 Apple App Store에 정상적으로 등록되어 있다. 피해자는 앱에서 제공하는 정보를 그대로 믿고 돈을 투자하지만 앱에는 조작된 정보가 포함되어 있다. 공격자는 처음 소액 투자인 경우에는 수익을 실현할 수 있게 하여 신뢰를 형성한다. 하지만 이후에는 추가 입금 혹은 과다한 수수료를 요구하거나 연락을 끊고 잠적해 막대한 금전적 피해를 입힌다.
2024년 1월 대한민국 국가사이버안보센터(NCSC)는 ‘국내 금융社 위장 사기앱 유포 주의 보안권고문’을 통해 투자 유도형 사기 앱에 대해 경고한 바 있다. 공개한 사기 앱 여섯 개는 국내 금융사의 로고나 명칭을 무단 도용하였다.
사기 앱 개발자(등록자)는 대한민국 외 다른 아시아 국가에서도 유사한 수법으로 범죄를 시도했다. Google Play에서 확인된 피해 국가는 대만, 일본, 인도, 말레이시아 등이 있다. 현재 대다수는 앱 스토어에서 삭제되었으나 일부는 여전히 등록되어 있다.
피해자를 고통에 빠뜨리는 몸캠 피싱
성 착취 스캠(Sextortion) 혹은 ‘몸캠 피싱’은 사생활 폭로를 빌미로 피해자에게 엄청난 심리적 압박을 하고, 이들을 협박하여 돈을 갈취하는 범죄다. 피해자는 당장 금전적인 손해를 입는 것 외에 심리적으로도 큰 충격과 공포를 느낀다. 일부 피해자는 정상적인 생활이 불가능할 정도의 고통을 겪기도 한다.
몸캠 피싱 공격자는 자신이 피해자 PC에 악성코드를 설치해 정보를 탈취했으며, 지금도 여전히 화면을 녹화하고 있다는 등의 거짓말로 피해자를 속인다. 보통 이메일(sextortion email)을 이용하여 임의의 피해자에게 접근하고, 더 큰 피해를 보지 않으려면 자신에게 가상화폐를 전송하라고 협박한다. 이러한 메일을 받은 피해자는 패닉에 빠져 송금하게 된다. 그 어떠한 기술적인 수법 없이 단지 심리적 부담을 이용하여 돈을 갈취하는 수법이다.
[그림 8] 몸캠 피싱 협박 이메일
몸캠 피싱은 구체적이고 신원 특정이 가능한 피해자의 정보를 이용한다. 피해자와의 성적인 대화나 사진 또는 영상을 인질로 삼아, 피해자의 가족이나 지인에게 유포하겠다고 협박한다. 청소년부터 기혼 성인까지 주로 남성을 타깃으로 하지만, 간혹 여성 피해자도 있다. 이들이 요구하는 돈은 최소 수십만 원에서 수백만 원이다. 몸캠 피싱은 개인의 수치심을 노린 범죄로써, 파일을 암호화하는 랜섬웨어와 수단과 방법만 다를 뿐 디지털 인질이라는 관점에서 전반적인 전략은 비슷하다.
1. 접근 방법
피해자는 모바일 메신저이나 데이팅 앱에서 신원 미상의 공격자(보통 여성처럼 행동)와 1:1 대화를 한다. 대부분 호기심이나 이성과 만남을 목적으로 대화를 시작하지만, 곧 성적인 대화로 이어진다. 대화 중 피해자는 대화 채널 이동, 파일 설치, 사진 전송 등 상대방의 요구를 들어준다. 공격자는 인질로 삼을 만한 정보를 획득한 뒤 돌변해 송금을 요구한다. 실제로 정보를 얻지 못한 경우라도 유출했다고 거짓말하여 피해자의 공포 심리를 자극한다.
다음은 최근 대한민국에서 몸캠 피싱 공격자가 피해자에게 최초 접근 시 이용한 것으로 확인된 채널이다. 공격자는 특정 앱을 이용하는 것이 아닌, 대화가 가능한 모든 방식을 이용하여 피해자에게 접근할 수 있다.
- 모바일 메신저 앱 (Facebook Messenger, LINE, KakaoTalk, Telegram 등)
- 모바일 데이팅 앱 (Tinder, MEEFF, WIPPY, GLAM, 중년톡 등)
2. 파일 설치
공격자는 안드로이드 APK 파일이나 아이폰 IPA 파일 설치 유도를 위해 피해자에게 파일을 직접 전달하거나 웹 사이트 링크를 공유해 직접 다운로드하도록 한다. 이들은 통화 품질 향상, 외국어 번역, 취미 생활 공유, 포르노 사진 공유 등 피해자가 속기 쉬운 이유들을 든다. 피해자들은 이러한 파일들이 악성 파일이라는 사실은 알고 있지만 순간의 상황에 현혹되어 속곤 한다.
악성 파일은 피해자의 휴대전화 연락처를 수집할 수 있다. 악성 파일에는 문자 메시지, 통화 이력, 사진, 카메라 촬영, 음성 녹음, 다른 메신저 앱 이벤트에 접근하는 등의 기능도 있다. [그림 9]는 몸캠 피싱에 이용된 악성 파일들의 유포 사이트 및 실행 화면이다.
[그림 9] 몸캠 피싱 악성 파일 유포 사이트 및 실행 화면
3. 파일’리스’ 공격
스캐머는 악성 파일을 사용하지 않고도 피해자를 협박할 수 있다. 인스타그램과 같은 소셜 미디어 앱의 메시지 기능을 이용해 피해자와 소통하는 동시에 피해자의 팔로워 목록을 캡처한다. 그리고, 일반적인 모바일 메신저 앱을 이용해 피해자와 성적인 대화나 영상 통화를 한 뒤, 대화 내용을 팔로워들에게 유출하겠다고 협박한다. 이러한 방식은 젊은 소셜 미디어 이용자를 대상으로 증가하고 있는 수법이다.
단계 |
대화 채널 |
최초 접근 |
모바일 데이팅 앱 |
피해자 지인 목록 확보 |
소셜 미디어 앱 (주로 인스타그램) |
성적인 대화 후 협 |
모바일 메신저 앱 |
[표 3] 파일 없이 피해자를 협박하는 단계
4. 피해자가 겪는 고통
몸캠 피싱은 피해자의 지극히 개인적인 사생활 정보를 빌미로 송금을 요구하는 방식이다. 어떤 공격자는 송금을 거부하는 피해자를 대상으로 피해자의 가족과 지인을 모두 초대한 그룹 채팅방을 개설하고 지금부터 유포를 시작하겠다며 심리적 압박을 극대화하기도 한다.
피해자는 가족과 지인에게 자신의 수치스러운 모습이 알려질까 봐 매우 괴로워하며, 공격자에게 순순히 돈을 지불해 금전적 피해를 입게 된다. 또한, 돈을 지불한 이후에도 정보가 유출되지 않을까 우려하며 지속적인 스트레스에 시달리게 된다. 이처럼 몸캠 피싱은 사람의 수치심 이용한다는 점과 돈을 지불하더라도 문제가 해결되지 않는다는 점에서 다른 스캠과 차이가 있다.
-- 3편에서 계속 --
구글 광고 추적 기능 통해 유포 중인 악성코드 주의
안랩 분석팀이 최근 구글 광고 추적 기능을 통해 악성코드가 유포되는 정황을 확인했다. 해당 악성코드는 노션(Notion), 슬랙(Slack)과 같이 많은 사람들이 사용하는 그룹웨어 설치 프로그램으로 위장해 공격자 서버로부터 악성 파일 및 페이로드를 다운로드한다. 최종적으로 설치되는 악성코드는 라다만티스(Rhadamanthys)인 것으로 알려졌다. 라다만티스 악성코드의 설치 및 유포 과정을 자세히 살펴보자.
이번 사례에서 악성코드는 주로 이노 셋업(Inno Setup) 인스톨러나 NSIS(Nullsoft Scriptable Install System) 인스톨러 형태로 유포되고 있다. 안랩 분석팀이 확인한 파일은 다음과 같다.
이 중 Notion_software_x64_.exe 파일은 최근까지 구글에서 “notion” 키워드 검색 시 사용자들에게 노출된 것으로 확인된다.
공격자는 구글 광고의 추적 기능을 이용해 정상 사이트로 접속하는 것처럼 보이도록 설정했다. 구글 광고 추적 기능은 광고주가 외부 통계 사이트 주소를 삽입해 사용자들의 접속 관련 데이터를 수집하고, 이를 통계에 활용할 수 있도록 한다. [그림 1]은 구글 광고 삽입 시 설정하는 최종 URL과 추적 템플릿 URL 예시이다.
[그림 1] 최종 URL (예시)
[그림 2] 추적 템플릿 URL (예시)
[그림 3]은 임의로 만든 광고 화면이다. 이 광고에는 추적 URL이 삽입돼 있으며, 사용자에게는 보이지 않는다. 사용자가 광고 배너를 클릭하면 사용자에게 보이는 최종 URL이 아닌, 추적 템플릿 URL로 접속한다.
[그림 3] 구글 광고에 보이는 화면 (예시)
[그림 4] 광고 클릭 시 접속 흐름 (예시)
본래 구글 광고의 추적 기능은 사용자 접속 통계 목적으로 활용하지만, 공격자는 외부 통계 사이트 주소가 아닌 악성코드 유포지를 삽입했다.
공격자는 사용자가 자신이 만든 광고 배너를 클릭해 아래 주소로 접속한 후, 악성 파일을 다운로드하도록 유도한다. 확인된 경유 주소 및 최종 연결 주소는 아래와 같다. 현재는 공격자의 광고가 내려간 상태다.
경유 주소
최종 연결 주소
● hxxps://notione.my-apk[.]com
최종 접속된 페이지는 실제 협업 툴 페이지와 유사하게 제작돼 있으며, 사용자가 악성코드를 다운로드하고 실행하도록 유도한다.
실행된 악성코드는 textbin, tinyurl 과 같이 텍스트를 저장할 수 있는 웹 사이트를 이용해 악성 페이로드의 주소에 접근한다.
다음은 공격자가 악성 페이로드 주소를 가져오기 위해 접근하는 URL을 정리한 것이다.
공격자가 위 주소로 접근하면 악성 페이로드 다운로드 주소를 응답으로 반환한다. 응답으로 받아오는 악성 페이로드 URL은 다음과 같다.
[그림 5] 악성 페이로드 주소
공격자는 위 주소로부터 최종적으로 인포스틸러(InfoStealer) 유형의 라다만티스(Rhadamanthys) 악성코드를 다운로드하며, 실행 시 %system32% 경로에 있는 윈도우 정상 파일에 악성코드를 인젝션해 실행한다. 악성코드가 정상 파일에 의해 실행되기 때문에, 사용자는 악성코드의 동작을 인지하지 못한 채 정보를 탈취당한다.
인젝션 대상의 윈도우 정상 파일 (%system32% 경로)
● dialer.exe
● openwith.exe
● dllhost.exe
● rundll32.exe
구글 외에도 통계 서비스를 위한 추적 기능이 제공되는 다른 검색 엔진 또한 악성코드 유포에 악용될 수 있다. 사용자는 광고에 표시된 주소가 아닌, 접속했을 때 보이는 URL을 반드시 확인해야 한다.
더 자세한 내용은 ASEC 블로그에서 확인할 수 있다.