최근 사이버 보안 분야에서 새롭게 확인된 지능형 지속 위협(APT)인 DarkCasino는 널리 사용되는 WinRAR 소프트웨어의 제로데이 취약점을 악용하는 것으로 주목을 받고 있다.
사이버 보안 업체 엔에스포커스(NSFOCUS)는 다크카지노를 경제적인 동기를 가진 공격자로 분류했으며, 고급 기술 역량과 다양한 유명 APT 공격 기술을 운영에 통합하는 경향을 보이고 있다고 밝혔다.
다크카지노는 2021년에 처음 레이더에 포착되었으며, 이후 다크카지노의 활동은 사이버 보안 커뮤니티 내에서 우려를 불러일으켰다. NSFOCUS의 분석에 따르면, 이 APT 그룹은 온라인 자산을 훔치려는 집중하고 있으며, 빈번한 공격을 시작하고 숙련된 기술 및 학습 능력을 보여주고 있다.
다크카지노의 최근 활동의 초점은 CVE-2023-38831로 확인된 취약점(공통 취약점 점수 시스템(CVSS) 점수 7.8점)을 악용하는 데 집중되어 있다. 이 취약점은 악성 페이로드 배포를 위한 게이트웨이 역할을 해 다크카지노가 제기하는 위협을 증폭시킨다.
한편 사이버 보안 회사 Group-IB는 2023년 8월에 WinRAR 취약점을 활용한 실제 공격을 공개한 바 있다. 최소 2023년 4월부터 계속된 이 공격은 특히 온라인 거래 포럼을 표적으로 삼았다. 이 공격의 최종 페이로드인 다크미(DarkMe)는 다크카지노의 소행으로 추정되는 비주얼 베이직 트로이 목마다. DarkMe는 호스트 정보 수집, 스크린샷 촬영, 파일 및 Windows 레지스트리 조작, 임의 명령 실행, 손상된 호스트에 대한 자체 업데이트 등 다양한 기능을 갖추고 있다.
다크카지노는 처음에는 유럽과 아시아의 온라인 갬블링, 암호화폐, 신용 플랫폼을 노리는 이블넘 그룹의 피싱 캠페인과 연관되어 있었지만, NSFOCUS가 이 그룹의 활동을 지속적으로 추적한 결과 다크카지노를 별도의 APT 위협 행위자로 재분류하게 되었다.
초기 지중해 주변 국가와 기타 아시아 지역에서 활동하던 다크카지노는 최근 전 세계로 활동 범위를 넓혔다. 피싱 방법의 변화로 인해 이 그룹은 한국, 베트남과 같은 비영어권 아시아 국가를 포함한 전 세계 암호화폐 사용자를 표적으로 삼을 수 있게 되었다.
최근 몇 달 동안 APT28, APT29, APT40, 다크 핑크, 고스트 라이터, 코니, 샌드웜 등 여러 위협 행위자들이 WinRAR 취약점을 악용했다는 점도 사태의 심각성을 더하고 있다. NSFOCUS는 다크카지노의 출현과 CVE-2023-38831의 익스플로잇으로 인해 2023년 하반기 APT 공격 환경이 위험한 상황이라고 경고하고 있다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★