Carbanak 그룹은 카스퍼스키가 2015년 처음 발견한 범죄조직으로, 이 그룹은 약 100곳의 금융 기관으로부터 최소 3억 달러를 훔친 것으로 나타났다. 2016년 초, Carbanak 갱은 미국과 중동의 은행 및 금융 기관들을 공격했다.
그리고 작년 11월, Trustwave의 연구원들은 이 그룹이 서비스 분야의 조직들을 타깃으로 하는 새로운 캠페인을 실행했다는 사실을 발견했다. 올해 1월, Carbanak 갱은 C&C 통신을 위해 구글 서비스를 사용하기 시작하기도 했다.
이들은 명령어를 Google Apps Script, Google Sheets, Google Forms 사이에서 보내고 받기 위해서 “ggldr” 스크립트를 사용했다.
또 해커들은 감염 된 사용자 마다 고유한 Google Sheets 스프레드시트를 사용해 탐지를 회피하고자 했다.
한편 지난 5월, Trustwave의 연구원들은 해당 그룹이 해킹 타깃을 위해 숨겨진 바로가기 파일(LNK 파일)을 사용한 새로운 사회공학적 기법 및 피싱 기술을 사용하는 것을 확인했다.
현재 이 그룹은 새로운 매크로와 Bateleur 백도어를 사용해 미국의 레스토랑 체인들을 공격하고 있는 것으로 나타났다.
Proofpoint의 연구원들은 “FIN7이라는 공격자들이 그들의 툴킷에 새로운 Jscript 백도어인 Bateleur를 추가하고, 매크로를 업데이트 한 것을 발견했다. 우리는 이러한 새로운 툴들이 미국의 레스토랑 체인을 공격하는 것을 목격했다. FIN7은 이전에는 접객업, 소매업, 해운업, 제조업 등을 타깃으로 해왔다”며 “새로운 매크로와 Bateleur 백도어는 정교한 안티 분석 및 샌드박스 기술을 사용해 그들의 활동을 숨기고 피해자를 확산시킨”고 밝혔다.
공격자들은 레스토랑 체인을 공격하기 위해 단순하고 효과적인 메시지를 사용했다.
이메일의 발신자가 Outlook.com 계정을 통해 보냈을 경우 메시지에 “이 문서는 Outlook Protect Service를 통해 암호화 되었습니다.”라는 문장을 포함하고, Gmail 계정을 사용했을 경우 “이 문서는 Google Documents Protect Service를 통해 암호화 되었습니다.”라는 문장을 포함했다.
이 문서는 캡션을 통해 악성 페이로드에 접근하는 매크로를 포함하고 있었다. 이후 Jscript를 캡션으로부터 추출해내고 내용을 현재 사용자의 임시 폴더 (%TMP%) 내에 debug.txt에 저장한다. 다음으로, 매크로는 Debug.txt를 JScript(Bateleur 백도어)로써 실행하기 위해 예약 된 작업을 생성한다. 이는 예약 된 작업을 삭제하기 전 10초 동안 휴면한다.
Carbanak은 여전히 활동 중이며 지속적으로 전략, 기술, 절차 등을 개선시키고 있다. Proofpoint는 “우리는 FIN7이 사용한 전략 및 툴에서 더 많은 피해자들을 감염 시키고 탐지를 피하기 위한 지속적인 변화를 보고 있다. Bateleur JScript 백도어와 새로운 매크로가 포함 된 문서들은 이 그룹의 최신 툴셋으로 보인다”고 결론 지었다. [정보출처. 이스트시큐리티]
★정보보안 대표 미디어 데일리시큐!★
