세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
조용히, 전 세계 수백 개 조직 감염시킨 서비스형 멀웨어, 큐립터
  |  입력 : 2018-03-15 15:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
제조자는 QUA R&D...이전부터 서비스형 멀웨어 제공으로 유명한 곳
80달러 정도에 대여 가능...포럼 운영해 고객들과의 소통 이어가


[보안뉴스 문가용 기자] 전 세계 여러 곳의 수백 개 조직이 큐립터(Qrypter)라는 원격 접근 트로이목마 공격에 감염됐다고 보안 업체 포스포인트(Forcepoint)가 밝혔다. 큐립터는 이미 수년 동안 존재해온 멀웨어의 일종으로, QUA R&D라는 지하조직에 의해 개발된 것으로 알려졌다. QUA R&D는 ‘서비스형 멀웨어(MaaS)’를 제공하는 것으로 유명하다.

[이미지 = iclickart]


큐립터는 여러 가지 이름을 가지고 있기도 하다. 카랄랙스(Qarallax), 콰버스(Quaverse), 큐랫(QRAT), 컨트롤러(Qontroller) 등이다. “자바를 기반으로 한 RAT로 TOR 기술을 바탕으로 한 C&C 서버와 연결되어 있습니다. 2016년 6월 처음 상세 공개된 바 있으며, 스위스서 미국 비자를 신청한 사람들을 대상으로 공격한 것이 최초 사례입니다.”

큐립터는 보통 악성 이메일 캠페인을 통해 확산된다고 포스포인트는 경고했다. 하지만 이 이메일 캠페인은 한 번에 수백 통 정도의 메일만 발송한다. 즉 기존의 대규모 공격들과는 차원이 조금 다른 것. “그럼에도 큐립터의 존재감이 확실하게 부각하고 있습니다. 올해 2월 한 달 동안 발견된 큐립터 관련 공격에만 243군데 조직이 당했습니다.”

피해자가 이메일을 열면 큐립터가 설치되는데, 이 때 두 가지 VBS 파일이 추가로 %Temp%라는 폴더로 드롭되고 실행된다. 파일 이름은 그때 그때 달라진다고 한다. 하지만 기능은 방화벽 및 백신 제품과 관련된 정보를 수집하는 것이다.

“큐립터의 정체는 플러그인에 기반을 둔 백도어입니다. 공격자들에게 다양한 공격 가능성을 열어주는 역할을 하는 것이죠. 큐립터를 통해 공격자들은 원격 데스크톱 제어도 할 수 있고, 웹캠에 접근할 수도 있으며, 파일 시스템을 조정하고 특정 파일을 설치하거나 삭제하며, 작업관리자도 마음대로 주무를 수 있게 됩니다.”

문제는 이 큐립터가 범죄를 희망하는 자들에게 값싸게 대여된다는 것이다. “퍼펙트머니(PerfectMoney), 비트코인 캐시, 비트코인으로 80달러에 해당하는 금액을 전송하면 누구나 큐립터 공격을 할 수 있습니다. 3개월권과 1년권이 팔리고 있더군요. 기간이 길면 할인도 됩니다.”

범인들이 제시한 비트코인 지갑을 추적해보니 약 1.69 코인이 입금되어 있는 것을 알 수 있었다. 이는 약 1만 3500달러에 해당한다. 즉, 꽤나 많은 사람들이 큐립터로 사이버 공격을 감행했다는 걸 알 수 있다. “비트코인 하나에서만 나온 금액이 저 정도입니다. 다른 코인 지갑은 아직 살펴보지 않았습니다.”

현재 큐립터 개발자들은 블랙앤화이트 가이즈(Black&White Guys)라는 포럼을 운영하며 고객들을 지원하고 있다. 이 포럼에 등록한 사용자는 2300명 정도다. 포스포인트의 전문가들은 이 포럼을 관찰하며 QUA R&D의 운영 방식을 어느 정도 파악해내는 데 성공했다. “일단 QUA R&D의 가장 큰 목표는 고객들을 만족시키는 것으로 보입니다. 일반적인 상인들이 고객에게 최고 대우를 해주는 것과 다를 바가 없습니다.”

QUA R&D가 가장 많이 고객들에게 해주는 말은 “백신 프로그램으로 탐지가 불가능하다”는 것으로, 해킹 공격에 익숙치 않은 고객들을 안심시키려는 것으로 보인다. 포스포인트는 “그러나 이 말이 그냥 허풍은 아니”라며, “2016년에 처음 등장했고 활발히 활동했지만 실제로 탐지되어 보고서가 나온 예는 극히 적다”고 지적한다. 확실히 큐립터의 탐지율은 아직도 그리 높지 않은 상태다.

포럼에서는 그 외에도 큐립터의 인기를 높이려는 각종 홍보활동이 벌어지기도 한다. 각종 할인 행사는 물론 경쟁 제품(다른 단체의 멀웨어나 큐립터를 잡아낼 수 있는 보안 솔루션)에 대한 상세한 분석 자료도 공유된다. “이들 때문에 사이버 공격의 진입장벽이 크게 낮아지고 있는 게 가장 큰 문제입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술