메일 보내기

솔루션 검색 데모요청 TOP

RSS Feed 받기

로그인 정보로 피드받기
입력한 이메일로 피드받기

보안뉴스

CryptXXX 랜섬웨어등에 이용된 Angler 익스플로잇 키트를 대여한 사이버범죄조직 Lurk의 변신
 
지난 6월 초, 카스퍼스키랩은 사법기관과의 공조 수사 끝에 러시아 기업 및 은행에서 4천 5백만 달러 이상을 훔친 혐의를 받고 있는 사이버 범죄 조직인 Lurk 조직의 용의자들을 다수 검거했다고 밝혔었습니다. 그 검거 작전은 최근 몇 년 간 진행된 사이버 범죄 수사 중 최대 규모였습니다. 그러나 이 사건은 Lurk 조직에서 관여한 사이버 범죄의 일부에 지나지 않습니다. Lurk의 악성 코드에 숨겨져 있는 IT 인프라를 분석한 결과 코드 운영자들이 익스플로잇 키트를 개발하여 다른 사이버 범죄자들에게도 대여한 것으로 밝혀졌습니다. 이 Angler 익스플로잇 키트는 악성 프로그램의 집합으로, 널리 사용되는 소프트웨어의 취약점을 파고 들어 PC에 악성 코드를 몰래 설치합니다. 
 
 
Angler 익스플로잇 키트는 지난 수년간 지하 시장에서 해커들에게 제공되어 온 가장 강력한 도구 중 하나로 알려져 있습니다. Angler 활동이 처음 발견된 때는 키트가 범죄 시장에 공개된 2013년 말로 거슬러 올라갑니다. 이후 이 키트는 애드웨어부터 뱅킹 악성 코드 및 랜섬웨어에 이르기까지 다양한 종류의 악성 코드 유포와 관련된 여러 사이버 범죄 집단에서 사용되었습니다. 특히 온라인에서 가장 발생 빈도가 높고 가장 위험한 랜섬웨어 위협 중 하나인 CryptXXX 랜섬웨어와 TeslaCrypt 등의 배후에 있는 집단이 이 익스플로잇 키트를 적극적으로 활용한 것으로 드러났습니다. 또 Angler는 거의 100개에 달하는 다양한 은행을 공격하도록 설계된 Neverquest 뱅킹 트로이목마를 유포하는 데도 사용되었습니다. Angler의 활동은 Lurk 조직이 구속된 후 바로 중단되었습니다. 

카스퍼스키랩 보안 전문가들이 조사한 바에 따르면 Angler 익스플로잇 키트는 처음에는 Lurk 내부 전용으로 개발된 것으로 밝혀졌습니다. 뱅킹 악성 코드를 목표 PC에 좀 더 용이하게 유포할 수 있도록 안정적이고 효율적인 전달 채널을 제공하는 것이 원래 목적이었습니다. Lurk 조직은 매우 폐쇄적인 집단이었기 때문에 다른 조직처럼 아웃소싱을 이용하지 않고 자체적으로 중요 인프라를 통제하는 방침을 고수하고 있었습니다. 그러나 2013년 상황이 변하면서 대가를 지불하면 누구나 이 키트를 이용할 수 있도록 공개했습니다. 

카스퍼스키랩코리아의 이창훈 지사장(www.kaspersky.co.kr)은 "Lurk 조직이 Angler를 공개한 이유는 현금 조달을 위해 어쩔 수 없이 내린 결정이었던 것으로 보고 있습니다. Angler를 공개했던 당시 Lurk 조직은 원격 뱅킹 시스템 소프트웨어 개발 업체의 보안 조치로 인해 주요 '수입원'인 사이버 절도 수익이 감소하고 있었습니다. 이 때문에 범죄 활동 자체가 어려워진 반면 여전히 보유하고 있는 네트워크 인프라 및 조직원의 규모가 컸기 때문에 이를 유지하기 위한 비용이 지속적으로 필요한 상황이었습니다. 이에 그들은 비즈니스를 확장하기로 결정했고 실제로 성과도 있었던 것으로 밝혀졌습니다. Lurk의 뱅킹 트로이목마와 Angler가 다른 점은 전자가 러시아 지역만 위협한 반면 후자는 전 세계 사용자를 표적으로 한 여러 공격에 이용되었다는 점입니다."라고 말했습니다. 

Lurk의 부수입 창출원은 Angler 익스플로잇 키트의 개발과 지원뿐만이 아니었습니다. 원격 뱅킹 서비스 소프트웨어를 통해 자동으로 돈을 탈취하는 강력한 악성 코드 개발에 집중했던 Lurk 조직은 5년이 넘는 시간 동안 조직의 비즈니스 방향을 수정하여 은행 내부 인프라를 잘 아는 전문가를 해킹하고 SIM 카드를 바꿔치기하는 정교한 공격 체계 개발에도 손을 뻗었습니다. 

이 기간 동안 Lurk 조직에서 벌인 활동은 카스퍼스키랩 보안 전문가들이 모니터링하여 문서화했습니다. 
카스퍼스키랩에서 조사한 지난 5년간의 Lurk 조직 활동에 대한 자세한 내용은 Securlist.com에서 확인할 수 있습니다.
번호 제목 날짜
54 카스퍼스키랩, 기계 판독 위협 인텔리전스 플랫폼 출시

2016.10.18 0

2016.10.18
53 보안 분석가와 피해자를 속이는 해킹 조직의 '위장 전술'

2016.10.18 0

2016.10.18
52 Kaspersky Internet Security, MRG Effitas 평가에서 '레벨 1' 인증 획득

2016.10.11 0

2016.10.11
51 생체 인식 스키머의 등장. 카스퍼스키랩에서 바라보는 ATM 보안 위협의 전망

2016.09.28 0

2016.09.28
50 카스퍼스키랩 보안 솔루션, SE Labs 2분기 평가에서 전 항목 1위 차지

2016.09.22 0

2016.09.22
49 카스퍼스키랩, 젊은 사이버 보안 인재 양성을 위한 탤런트랩 개최

2016.09.22 0

2016.09.22
48 ICS/SCADA(산업제어) 환경의 사이버 보안 문화 (제1회)

2016.09.22 0

2016.09.22
47 [보안컬럼] 산업제어시스템 환경에서 사이버 보안 문화 구축

2016.09.22 0

2016.09.22
» CryptXXX 랜섬웨어등에 이용된 Angler 익스플로잇 키트를 대여한 사이버범죄조직 Lurk의 변신

관리자 2016.09.22 41

2016.09.22
45 내부자를 이용한 사이버 범죄에 노출된 통신사

2016.08.31 0

2016.08.31
44 ATM 및 POS 단말기에 특화된 보호 솔루션, Kaspersky Embedded Systems Security 출시

2016.08.16 0

2016.08.16
43 카스퍼스키랩, 전 세계 기업 및 정부 기관을 대상으로 한 100개 이상의 정교한 악성 코드 활동 추적

2016.08.09 0

2016.08.09
42 카스퍼스키랩, 해커원과 함께 자사 제품에 대한 버그 바운티 프로그램 실시

2016.08.09 0

2016.08.09
41 2분기 봇넷 DDoS 공격 보고서: Linux 봇넷이 증가하고 공격 기간은 연장되는 추세

2016.08.03 0

2016.08.03
40 랜섬웨어와의 전쟁: IT 보안 회사와 사법 기관과의 국제 공조 프로젝트 출범

2016.07.26 0

2016.07.26
39 사이버 공격 대응력 향상: 카스퍼스키랩, 보안 인식 교육 솔루션 출시

2016.07.26 0

2016.07.26
38 카스퍼스키 랩의 연구 결과: 인터넷에 접속하고자 하는 욕구로 인해 위험에 빠지는 여행자들

2016.07.13 0

2016.07.13
37 카스퍼스키랩, SC Magazine Awards Europe 2016에서 최고 등급 수상

2016.06.30 0

2016.06.30
36 랜섬웨어 공격 급증, 연간 71만 8천 명의 피해자 발생

2016.06.30 0

2016.06.30
35 유진 카스퍼스키 회장의 한국 방문기 블로그

2016.06.20 0

2016.06.20