Home > 전체기사
메이지카트, 발각된 이후로 대대적으로 변신해
  |  입력 : 2019-03-04 19:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 범죄자들의 프로 정신(?)...들킨 이후 공격 효율 떨어진 듯
공격 인프라 새롭게 마련하고, 카드 스키밍 원리도 바꿔


[보안뉴스 문가용 기자] 메이지카트(Magecart)라는 이름 아래 활동하는 여러 해킹 단체들이 최근 전략을 바꿨다고 한다. 2018년 11월, 메이지카트에 대한 세부 내용과 전략이 소개된 보고서가 발표되었기 때문이다.

[이미지 = iclickart]


메이지카트는 카드 스키머 등을 사용해 온라인 상거래 시스템을 주로 공략하는 것으로 유명한데, 단일 단체가 아니라 최소 6개 그룹으로 구성된 악성 행위자의 명칭이다. 상기 보고서가 나왔을 땐 6개였는데, 지금은 늘어난 것으로 보인다. 이 중에 가장 뛰어난 기술력을 가진 단체는 그룹 4(Group 4)라고 불린다.

최근 보안 업체 리스크IQ(RiskIQ)가 발견한 바에 의하면 이 그룹 4가 작전 실행 전략에 여러 가지 변화를 적용한 것으로 보인다. “당시 보고서가 나오면서 전략이 공개됐고, 일부 공격 인프라가 폐쇄되기도 했습니다. 이 때문에 공격의 전략이 바뀔 수밖에 없게 됐죠.”

그렇다면 정확히 어떤 변화가 있었을까? “11월부터 그룹 4는 100개 가까운 도메인을 새롭게 등록했습니다. 그리고 이 도메인들을 라우팅 시킬 서버를 대규모로 설치했습니다. 스키머를 배포할 공격 인프라를 대대적으로 새롭게 마련한 것입니다.”

또한 그룹 4는 겹치는 IP를 제거하고, 한 IP 주소에 최대 5개의 도메인들만 연결시키고 있다. 그러면서 다른 IP들과 연결되지 않도록 하고, IP 공간을 다른 호스터들과도 공유하는 방식을 채용했다. 이전 공격 인프라의 경우, 방어가 탄탄한 보안 호스터들이나 악성 행위를 무시하는 호스터들을 고정적으로 운영했다. 또한 그룹 4는 다양한 표준 자바스크립트 라이브러리들을 사용하기 시작하기도 했다.

리스크IQ는 “우리가 보안의 전문가이듯, 그들 역시 사이버 범죄의 전문가들”이라며, “우리 입장에서는 그들의 일을 ‘직업’으로 인식하지 않지만, 그룹 4와 같이 고급 해킹 기술을 발휘하며 전문적으로 범죄 행위를 저지르는 자들은 자신들의 업무에 최선을 다한다”고 설명한다. “전략적 변화도 전부 이런 업무 행위의 일환인 것이죠.”

그룹 4가 카드 스키밍을 하기 위해 마련한 도메인들은 대규모 내부 네트워크를 가리키는 프록시들이라고 리스크IQ는 덧붙였다. “스키밍과 관련된 요청이 스키머 스크립트를 배포하는 백엔드로 전송되고 있는 걸 조사를 통해 파악할 수 있었습니다.” 메이지카트에 속한 다른 해킹 그룹들은 PHP와 MySQL 기반의 백엔드들을 합한 키트를 주로 사용한다. 즉, “훔친 데이터를 전송받는 서버와 스키밍에 필요한 코드를 제공하고 백엔드를 호스팅하는 서버가 같다”는 뜻이다.

공격 인프라를 이렇게 바꾸는 것 외에 그룹 4는 스키밍 도구의 주요 요소들을 업데이트하기도 했다. 그래서 이전에 있던 기능들은 대부분 제거됐다. 그렇다고 옛 코드가 전부 사라진 건 아니다. 또한 새롭게 추가된 기능들은 디폴트상 비활성화 되어 있다. 사용하려면 코드 사용자가 일부러 이 기능들을 활성화시켜야만 한다.

이전 스키밍 툴 혹은 스키머는 주로 오버레이 기법을 통해 지불 정보를 빼내는 피싱 시스템을 갖추고 있었다. 하지만 새롭게 바뀐 코드는 이미 존재하는 지불 양식을 스키밍하는 식으로 수법을 바꾸고 있다. “스키머는 페이지 양식들을 훑고 지나갑니다. 그리고 지불 관련 데이터를 추출하죠. 이 때문에 기존에 비해 코드가 150줄이나 줄어들었습니다.”

또한 새로운 이벤트 리스너도 추가됐다. 지불 완료 처리 과정에 끼어들 수 있는 프로세스를 마련하기 위해서다. “새 이벤트 리스너는 리턴 및 엔터 키가 사용되는 것을 기다렸다가, 사용자가 해당 키를 사용할 때 발동합니다. 디폴트 상 꺼져 있는 것으로 보아 아직 공격자들이 실험 중에 있는 것도 같습니다.”

데이터 추출 URL도 간단해졌다. “그럴 수밖에 없는 것이 미리 설정된 도메인의 ‘풀’로부터 무작위로 하나를 골라내고, 페이지 스킴(page scheme)을 가져간 후, 도메인을 추가해, 무작위 세 글자로 된 .jpg 파일 경로를 생성하는 방식으로 변했기 때문입니다. 여기에는 URL 주소가 이미지 요소처럼 추가되어 있고, 해당 페이지가 로딩이 되면 곧바로 삭제됩니다. 추출된 데이터는 전부 암호화되어 있습니다.”

3줄 요약
1. 작년 말 보고서를 통해 수법과 대략적인 정체가 공개된 메이지카트 그룹.
2. 이에 맞춰 공격 전략과 방식, 주요 도구에 대대적인 수정 가함.
3. 메이지카트 내에서 가장 뛰어난 단체인 ‘그룹 4’가 특히 많은 변화 일으킴.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)