세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
조용히, 전 세계 수백 개 조직 감염시킨 서비스형 멀웨어, 큐립터
  |  입력 : 2018-03-15 15:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
제조자는 QUA R&D...이전부터 서비스형 멀웨어 제공으로 유명한 곳
80달러 정도에 대여 가능...포럼 운영해 고객들과의 소통 이어가


[보안뉴스 문가용 기자] 전 세계 여러 곳의 수백 개 조직이 큐립터(Qrypter)라는 원격 접근 트로이목마 공격에 감염됐다고 보안 업체 포스포인트(Forcepoint)가 밝혔다. 큐립터는 이미 수년 동안 존재해온 멀웨어의 일종으로, QUA R&D라는 지하조직에 의해 개발된 것으로 알려졌다. QUA R&D는 ‘서비스형 멀웨어(MaaS)’를 제공하는 것으로 유명하다.

[이미지 = iclickart]


큐립터는 여러 가지 이름을 가지고 있기도 하다. 카랄랙스(Qarallax), 콰버스(Quaverse), 큐랫(QRAT), 컨트롤러(Qontroller) 등이다. “자바를 기반으로 한 RAT로 TOR 기술을 바탕으로 한 C&C 서버와 연결되어 있습니다. 2016년 6월 처음 상세 공개된 바 있으며, 스위스서 미국 비자를 신청한 사람들을 대상으로 공격한 것이 최초 사례입니다.”

큐립터는 보통 악성 이메일 캠페인을 통해 확산된다고 포스포인트는 경고했다. 하지만 이 이메일 캠페인은 한 번에 수백 통 정도의 메일만 발송한다. 즉 기존의 대규모 공격들과는 차원이 조금 다른 것. “그럼에도 큐립터의 존재감이 확실하게 부각하고 있습니다. 올해 2월 한 달 동안 발견된 큐립터 관련 공격에만 243군데 조직이 당했습니다.”

피해자가 이메일을 열면 큐립터가 설치되는데, 이 때 두 가지 VBS 파일이 추가로 %Temp%라는 폴더로 드롭되고 실행된다. 파일 이름은 그때 그때 달라진다고 한다. 하지만 기능은 방화벽 및 백신 제품과 관련된 정보를 수집하는 것이다.

“큐립터의 정체는 플러그인에 기반을 둔 백도어입니다. 공격자들에게 다양한 공격 가능성을 열어주는 역할을 하는 것이죠. 큐립터를 통해 공격자들은 원격 데스크톱 제어도 할 수 있고, 웹캠에 접근할 수도 있으며, 파일 시스템을 조정하고 특정 파일을 설치하거나 삭제하며, 작업관리자도 마음대로 주무를 수 있게 됩니다.”

문제는 이 큐립터가 범죄를 희망하는 자들에게 값싸게 대여된다는 것이다. “퍼펙트머니(PerfectMoney), 비트코인 캐시, 비트코인으로 80달러에 해당하는 금액을 전송하면 누구나 큐립터 공격을 할 수 있습니다. 3개월권과 1년권이 팔리고 있더군요. 기간이 길면 할인도 됩니다.”

범인들이 제시한 비트코인 지갑을 추적해보니 약 1.69 코인이 입금되어 있는 것을 알 수 있었다. 이는 약 1만 3500달러에 해당한다. 즉, 꽤나 많은 사람들이 큐립터로 사이버 공격을 감행했다는 걸 알 수 있다. “비트코인 하나에서만 나온 금액이 저 정도입니다. 다른 코인 지갑은 아직 살펴보지 않았습니다.”

현재 큐립터 개발자들은 블랙앤화이트 가이즈(Black&White Guys)라는 포럼을 운영하며 고객들을 지원하고 있다. 이 포럼에 등록한 사용자는 2300명 정도다. 포스포인트의 전문가들은 이 포럼을 관찰하며 QUA R&D의 운영 방식을 어느 정도 파악해내는 데 성공했다. “일단 QUA R&D의 가장 큰 목표는 고객들을 만족시키는 것으로 보입니다. 일반적인 상인들이 고객에게 최고 대우를 해주는 것과 다를 바가 없습니다.”

QUA R&D가 가장 많이 고객들에게 해주는 말은 “백신 프로그램으로 탐지가 불가능하다”는 것으로, 해킹 공격에 익숙치 않은 고객들을 안심시키려는 것으로 보인다. 포스포인트는 “그러나 이 말이 그냥 허풍은 아니”라며, “2016년에 처음 등장했고 활발히 활동했지만 실제로 탐지되어 보고서가 나온 예는 극히 적다”고 지적한다. 확실히 큐립터의 탐지율은 아직도 그리 높지 않은 상태다.

포럼에서는 그 외에도 큐립터의 인기를 높이려는 각종 홍보활동이 벌어지기도 한다. 각종 할인 행사는 물론 경쟁 제품(다른 단체의 멀웨어나 큐립터를 잡아낼 수 있는 보안 솔루션)에 대한 상세한 분석 자료도 공유된다. “이들 때문에 사이버 공격의 진입장벽이 크게 낮아지고 있는 게 가장 큰 문제입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#큐립터   #멀웨어   #서비스형   #MaaS   


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
공인인증서 제도가 폐지될 것으로 보입니다. 향후 공인인증서를 대체할 수 있는 최고의 인증기술은 무엇이라고 보시나요?
생체인증
전자서명
바코드·QR코드 인증
블록체인
노 플러그인 방식 인증서
기타(댓글로)