Home > 전체기사
해커를 속이기 위해 해킹 툴을 해킹한 해커, 정체는?
  |  입력 : 2020-03-11 18:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
해커들 사이에서 널리 사용되는 엔제이랫, 개조된 버전이 빠르게 퍼지고 있어
해킹 공격 성공시키면 또 다른 해커에게로 정보가 넘어가...베트남인 연루 가능성 높아


[보안뉴스 문가용 기자] 사이버 범죄자들이 또 다른 사이버 범죄자를 노리고 공격하는 행위는 이전부터 알려져 왔던 것이다. 최근에는 유명 트로이목마형 원격 접근 도구인 엔제이랫(njRAT)을 통해 서로를 노리는 공격자들의 행위가 발견됐다. 감염된 엔제이랫이 범죄자들 사이에서 빠르게 퍼지고 있다는 소식이다.

[이미지 = iclickart]


2016년 11월, 보안 업체 프루프포인트(Proofpoint)는 유튜브에서 광고되고 있는 피싱 키트를 하나 발견했다. 키트 내에는 개발자로 보이는 이의 이메일 주소가 하드코드 되어 있었다. 즉 이 키트를 사용한 피싱 공격이 성공할 경우, 이 이메일 주소의 주인에게도 자동으로 전송되도록 만들어져 있었던 것이다.

이번에 발견된 엔제이랫도 비슷했다. 다만 이메일 주소가 하드코드 되어 있지는 않아 배후 세력이 아직은 불투명하다. 다만 분석과 추적 끝에 2018년 11월 한 베트남인이 등록한 게임 사이트와 관계가 있는 것으로 나타났다. 희미하게나마 베트남 해커들과의 연결고리가 나타난 것이다. 게다가 베트남에 있는 누군가가 지속적으로 멀웨어 샘플을 테스트하고 있는 것도 분석 과정 중에 발견됐다고 한다.

이런 사실을 발견한 건 보안 업체 사이버리즌(Cybereason)이다. 부회장인 아밋 서퍼(Amit Serper)가 직접 보고서를 만들어 발표했다. 이 보고서에 의하면 감염된 엔제이랫이 퍼져나가기 시작한 건 이미 수년 전 부터이며, 따라서 지금은 대단히 광범위한 캠페인이 되어버렸다고 한다. 현재 이 엔제이랫은 다양한 해커 플랫폼과 해킹 포럼, 해커들 전용 웹사이트를 통해 배포되는 중이다.

사이버리즌이 조사한 바에 의하면 파일 포스팅 서비스인 미디어파이어(MediaFire)에서 다양한 ‘악성’ 해킹 툴들이 발견되는 중이라고 한다. 악성 해킹 툴은 이번에 발견된 엔제이랫처럼 해킹 및 크래킹이 진행되어 추가 악성 기능이 붙은 해킹 도구들을 의미한다. 보고서를 통해 서퍼는 “엔제이랫이 배포되고 있는 베트남 도메인의 서브도메인에서 약 700개의 샘플들이 발견되었다”고 한다. “그 수는 매일 늘어나고 있는 상황입니다.”

누군가 해커들을 노리고 해커들의 소프트웨어를 뒤바꾸고 있다는 것인데, 서퍼는 “해커들만이 이번 캠페인의 표적인 것은 아니다”라고 설명한다. “물론 엔제이랫은 해커들만 사용하는 툴이라고 봐도 무방합니다. 하지만 이번에 발견된 서브도메인들 중에는 크롬 설치 파일인 것처럼 위장된 악성 파일을 배포하는 곳도 있었습니다. 크롬은 많은 일반 사용자들도 충분히 사용할 수 있는 브라우저죠. 그래픽 카드 제조사인 엔비디아(Nvidia)의 유틸리티를 가장한 샘플도 있었고요. 다만 이것만 가지고 공격자가 정말로 노리고 있는 표적을 유추하기는 어렵습니다.” 보고서의 내용이다.

사이버리즌 측은 이번 사태를 추적해 찾아낸 도메인들의 소유주 혹은 운영자들에게 연락을 취했지만 아직까지 아무런 답장을 받지 못했다고 한다. “저희는 야라(YARA)를 사용해 이번 캠페인 배후로 보이는 자들이 침해한 사이트에서 또 다른 엔제이랫 샘플을 10개 넘게 발견했습니다. 샘플들 전부 정상적인 윈도우 프로세스의 이름을 가지고 있었고, %AppData% 내에 있는 하위 디렉토리들에서부터 실행된다는 것도 분석을 통해 알아냈습니다.”

서퍼는 “개조된 툴의 수와, 그 많은 툴이 번지는 속도, 엔제이랫의 버전 수 등을 감안하면 누군가 ‘멀웨어 공장’을 만든 것처럼 보인다”는 의견을 제시한다. “매일처럼 꾸준하게 이 어마어마한 분량을 ‘찍어내고’ 있다는 건 공장 가동의 가능성을 시사 합니다. 뭔가 대단히 효율적이고, 구조적이며, 체계적이기까지 한 느낌이 듭니다. 어쩌면 이것이 미래에 나타날 위협의 형태가 될지도 모르겠습니다. 자동화 기술이 사용되었다고 생각하기도 합니다.”

3줄 요약
1. 해커들이 주로 사용하는 소프트웨어에서 이상한 점 발견됨.
2. 분석해 보니 배후 세력 분명치 않지만 베트남 해커와 연결되어 있는 듯.
3. 공격 규모 보면 ‘멀웨어 공장’이라고 가동했다고 해도 이상치 않은 수준.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)