2024-03-29 08:55 (금)
ATM에서 돈 훔치기 위해 신종 루트킷으로 공격하는 해킹 그룹
상태바
ATM에서 돈 훔치기 위해 신종 루트킷으로 공격하는 해킹 그룹
  • 길민권 기자
  • 승인 2022.03.23 00:03
이 기사를 공유합니다

출처. 멘디언트
출처. 멘디언트

오라클 솔라리스 시스템을 타깃으로 한 신종 루트킷을 유포하는 공격 정황이 포착됐다. 공격자들은 ATM의 스위칭 네트워크를 해킹해 사기 카드를 사용해 여러 은행에서 무단으로 현금을 인출하려는 목적이었다.

더해커뉴스에 따르면, 멘디언트(Mandiant)는 이들을 UNC2891라고 명하고 해당 그룹의 전술, 기술, 절차 등을 분석하고 있다.

멘디언트 연구원들은 이들을 UNC2891라고 명하고 "이들은 높은 수준의 OPSEC을 포함하고, 증거를 없애고 대응을 방해하기 위해 다양한 악성코드, 유틸리티, 스크립트를 활용한다”고 설명했다.

멘디언트는 피해 ATM 스위치 서버 중 하나에서 메모리 포렌식 데이터를 복구하고, 커널 루트킷의 한 변종을 확인 결과 카드와 PIN 확인 메시지를 가로채 훔친 데이터를 통해 ATM 터미널에서 사기성 현금 인출을 실행할 수 있는 특수한 기능이 포함되어 있었다고 덧붙였다.

또 백도어 SLAPSTICK과 TINYSHELL을 사용하며 미션 크리티컬 시스템에서 지속적인 원격 접속 권한을 얻거나 rlogin 또는 telnet, SSH를 통한 셸 실행 및 파일 전송에 사용되었다고 전했다.

특히 이 공격그룹은 TINYSHELL 백도어를 숨기기 위해systemd(SYSTEMD), NCSD(name service cache daemon), ATD(name service cache daemon)와 같은 다른 서비스로 위장하고 있다.

UNC2891은 유닉스와 리눅스 환경의 가시성 및 보안 장치가 부족하다는 점을 활용해 공격을 주로 하는 것으로 조사됐다.


[G-PRIVACY 2022 개최-보안교육7시간 이수]

◇행사명: 2022 공·공 금·융 기업 개인정보보호&정보보안 컨퍼런스(G-PRIVACY 2022 )

◇대상: 정부∙공공∙지자체∙교육기관∙금융기관∙의료기관∙일반기업 개인정보보호/정보보안 실무자(※학생, 프리랜서 그리고 현업 보안실무자가 아닌 분들은 참석대상이 아님을 미리 공지합니다.)

◇일시: 2022년 3월 29일 화요일 오전9시~오후5시

◇장소: 더케이호텔서울 2층 가야금홀

◇참가비: 무료

◇점심식사: 제공하지 않습니다.

◇주차: 1일 무료 주차권 지급

◇발표자료: 등록사이트에서 다운로드(3월 28일 오후 4시부터)

◇7시간 교육이수: 공무원·일반기업 보안교육 7시간(CPPG, CISSP 등 자격증도 7시간 인정)※참석 후 설문을 제출해 주신 분에 한해 이수증을 보내드립니다.

◇등록마감: 2022년 3월 28일 오후 5시까지

◇전시회: 국내외 최신 개인정보보호 및 정보보안 솔루션 전시

◇문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

◇사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★