Home > 전체기사
메이지카트, 발각된 이후로 대대적으로 변신해
  |  입력 : 2019-03-04 19:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 범죄자들의 프로 정신(?)...들킨 이후 공격 효율 떨어진 듯
공격 인프라 새롭게 마련하고, 카드 스키밍 원리도 바꿔


[보안뉴스 문가용 기자] 메이지카트(Magecart)라는 이름 아래 활동하는 여러 해킹 단체들이 최근 전략을 바꿨다고 한다. 2018년 11월, 메이지카트에 대한 세부 내용과 전략이 소개된 보고서가 발표되었기 때문이다.

[이미지 = iclickart]


메이지카트는 카드 스키머 등을 사용해 온라인 상거래 시스템을 주로 공략하는 것으로 유명한데, 단일 단체가 아니라 최소 6개 그룹으로 구성된 악성 행위자의 명칭이다. 상기 보고서가 나왔을 땐 6개였는데, 지금은 늘어난 것으로 보인다. 이 중에 가장 뛰어난 기술력을 가진 단체는 그룹 4(Group 4)라고 불린다.

최근 보안 업체 리스크IQ(RiskIQ)가 발견한 바에 의하면 이 그룹 4가 작전 실행 전략에 여러 가지 변화를 적용한 것으로 보인다. “당시 보고서가 나오면서 전략이 공개됐고, 일부 공격 인프라가 폐쇄되기도 했습니다. 이 때문에 공격의 전략이 바뀔 수밖에 없게 됐죠.”

그렇다면 정확히 어떤 변화가 있었을까? “11월부터 그룹 4는 100개 가까운 도메인을 새롭게 등록했습니다. 그리고 이 도메인들을 라우팅 시킬 서버를 대규모로 설치했습니다. 스키머를 배포할 공격 인프라를 대대적으로 새롭게 마련한 것입니다.”

또한 그룹 4는 겹치는 IP를 제거하고, 한 IP 주소에 최대 5개의 도메인들만 연결시키고 있다. 그러면서 다른 IP들과 연결되지 않도록 하고, IP 공간을 다른 호스터들과도 공유하는 방식을 채용했다. 이전 공격 인프라의 경우, 방어가 탄탄한 보안 호스터들이나 악성 행위를 무시하는 호스터들을 고정적으로 운영했다. 또한 그룹 4는 다양한 표준 자바스크립트 라이브러리들을 사용하기 시작하기도 했다.

리스크IQ는 “우리가 보안의 전문가이듯, 그들 역시 사이버 범죄의 전문가들”이라며, “우리 입장에서는 그들의 일을 ‘직업’으로 인식하지 않지만, 그룹 4와 같이 고급 해킹 기술을 발휘하며 전문적으로 범죄 행위를 저지르는 자들은 자신들의 업무에 최선을 다한다”고 설명한다. “전략적 변화도 전부 이런 업무 행위의 일환인 것이죠.”

그룹 4가 카드 스키밍을 하기 위해 마련한 도메인들은 대규모 내부 네트워크를 가리키는 프록시들이라고 리스크IQ는 덧붙였다. “스키밍과 관련된 요청이 스키머 스크립트를 배포하는 백엔드로 전송되고 있는 걸 조사를 통해 파악할 수 있었습니다.” 메이지카트에 속한 다른 해킹 그룹들은 PHP와 MySQL 기반의 백엔드들을 합한 키트를 주로 사용한다. 즉, “훔친 데이터를 전송받는 서버와 스키밍에 필요한 코드를 제공하고 백엔드를 호스팅하는 서버가 같다”는 뜻이다.

공격 인프라를 이렇게 바꾸는 것 외에 그룹 4는 스키밍 도구의 주요 요소들을 업데이트하기도 했다. 그래서 이전에 있던 기능들은 대부분 제거됐다. 그렇다고 옛 코드가 전부 사라진 건 아니다. 또한 새롭게 추가된 기능들은 디폴트상 비활성화 되어 있다. 사용하려면 코드 사용자가 일부러 이 기능들을 활성화시켜야만 한다.

이전 스키밍 툴 혹은 스키머는 주로 오버레이 기법을 통해 지불 정보를 빼내는 피싱 시스템을 갖추고 있었다. 하지만 새롭게 바뀐 코드는 이미 존재하는 지불 양식을 스키밍하는 식으로 수법을 바꾸고 있다. “스키머는 페이지 양식들을 훑고 지나갑니다. 그리고 지불 관련 데이터를 추출하죠. 이 때문에 기존에 비해 코드가 150줄이나 줄어들었습니다.”

또한 새로운 이벤트 리스너도 추가됐다. 지불 완료 처리 과정에 끼어들 수 있는 프로세스를 마련하기 위해서다. “새 이벤트 리스너는 리턴 및 엔터 키가 사용되는 것을 기다렸다가, 사용자가 해당 키를 사용할 때 발동합니다. 디폴트 상 꺼져 있는 것으로 보아 아직 공격자들이 실험 중에 있는 것도 같습니다.”

데이터 추출 URL도 간단해졌다. “그럴 수밖에 없는 것이 미리 설정된 도메인의 ‘풀’로부터 무작위로 하나를 골라내고, 페이지 스킴(page scheme)을 가져간 후, 도메인을 추가해, 무작위 세 글자로 된 .jpg 파일 경로를 생성하는 방식으로 변했기 때문입니다. 여기에는 URL 주소가 이미지 요소처럼 추가되어 있고, 해당 페이지가 로딩이 되면 곧바로 삭제됩니다. 추출된 데이터는 전부 암호화되어 있습니다.”

3줄 요약
1. 작년 말 보고서를 통해 수법과 대략적인 정체가 공개된 메이지카트 그룹.
2. 이에 맞춰 공격 전략과 방식, 주요 도구에 대대적인 수정 가함.
3. 메이지카트 내에서 가장 뛰어난 단체인 ‘그룹 4’가 특히 많은 변화 일으킴.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

보쉬시큐리티시스템즈
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

Videotec
PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

쿠도커뮤니케이션
스마트 관제 솔루션

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

비전정보통신
IP카메라 / VMS / 폴

씨오피코리아
CCTV 영상 전송장비

트루엔
IP 카메라

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

두현
DVR / CCTV / IP

KPN
안티버그 카메라

에스카
CCTV / 영상개선

디케이솔루션
메트릭스 / 망전송시스템

인사이트테크놀러지
방폭카메라

구네보코리아
보안게이트

티에스아이솔루션
출입 통제 솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

사라다
지능형 객체 인식 시스템

아이큐스
지능형 CCTV

퍼시픽솔루션
IP 카메라 / DVR

유시스
CCTV 장애관리 POE

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

파이브지티
얼굴인식 시스템

케이티앤씨
CCTV / 모듈 / 도어락

지와이네트웍스
CCTV 영상분석

지에스티엔지니어링
게이트 / 스피드게이트

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

다원테크
CCTV / POLE / 브라켓

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

수퍼락
출입통제 시스템

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스 시스템즈
스피드 돔 카메라

에프에스네트웍스
스피드 돔 카메라

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

창우
폴대

대원전광
렌즈

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향