사이버범죄자 저격수(Cybercriminal Sharpshooters): HawkEye를 이용하여 소기업을 공격하는 나이지리아 스캐머

게시일: 2015-06-22 l 작성자: Ryan Flores (Threat Research Manager)

기업 운영을 방해하는 데에는 굳이 고급 멀웨어가 필요한 것은 아니며 간단한 백도어 프로그램만으로도 충분합니다.

올해 초 Trend Micro Forward-Looking Threat Research Team은 Uche와 Okiki라는 가명을 쓰며 개발도상국의 소기업들을 공격하여 정보를 훔치고 표적 기업과 파트너와의 거래 정보를 가로채는 두 명의 나이지리아 사이버범죄자의 활동을 모니터링하였습니다. 이들은 미화 35달러에 살 수 있는 간단한 백도어 프로그램인 HawkEye를 이용하여 이와 같은 범죄 활동을 저질렀습니다.

이들이 사용한 멀웨어는 간단한 것이었지만 이를 통한 사이버범죄 활동은 그렇지 않습니다. 우리가 조사한 바에 의하면 Uche와 Okiki의 활동은 정보를 훔쳐내어 타인에게 판매하는 단독 범행과는 다른 양상을 보였습니다. Uche와 Okiki는 수집한 정보를 이용하여 피해기업에 대한 또 다른 범죄 기회를 모색하였습니다.

장시간을 투자하는 범죄

사이버범죄자들이 선호하는 “부수고 낚아채는(smash and grab)” 방식에서 주로 볼 수 있는 활동(멀웨어가 첨부된 스팸 메일을 전송하고 피해자가 이를 실행하도록 하여 기회를 노리는 방식)과는 달리 Uche와 Okiki는 상당한 시간을 들여 피해자를 철저히 악용하였습니다. 표적 기업의 메일함을 이용해 외부인의 문의 메일을 수신한 후 악성 첨부 파일이나 악의적 의도가 없는 이메일을 표적들에게 전송하고 그들과 활발하게 의사 소통을 하였습니다.

그림 1. Okiki가 표적들에게 전송한 실제 이메일 샘플

일단 표적들로부터 신뢰를 얻게 되면 이들과의 이메일 대화 시 HawkEye를 전송하여 시스템을 감염시키고 손상시킵니다.

더 큰 수익

Uche와 Okiki의 범죄 활동은 온라인 뱅킹이나 소셜 네트워킹 자격증명과 같은 정보를 훔치는 것이 아니라 기업의 웹메일 계정을 목적으로 하였습니다. 표적 기업의 이메일에 액세스하여 기업과 파트너 및 고객과의 메일, 거래 내용 및 그 밖의 다양한 정보를 살펴보는 차별화된 전략은 이들에게 더 많은 기회를 가져다 주었습니다.

피해자의 거래 내역을 조회한 Uche와 Okiki는 이를 기반으로 피해자의 제휴사를 표적으로 하거나 표적의 모기업으로 범죄를 확대하거나 “공급자 변경” 사기 등과 같은 다양한 범죄를 저질렀습니다. 결제 조건에 관한 고객과 공급업체 간 대화를 가로챌 수 있었기 때문에 “공급자 변경”사기는 Uche와 Okiki에게 상당한 수익을 가져다 준 것으로 추측됩니다. 사이버범죄자들은 피해자(이번 경우엔 공급자)의 계정을 이용하여 지불 계정이 변경되었다는 내용을 이메일을 전송합니다. 그런 다음 공급자의 계정이 아닌 자신의 계정을 그들에게 알려줍니다. 과거 Predator Pain과 Limitless를 이용한 “공급자 변경” 범죄 기법은 공격자들에게 미화 7천5백만 달러의 수익을 가져다 주었습니다.

소기업들에 대한 심각한 위협

이번 범죄에 대한 조사 자료는 표적으로부터 최대한 많은 것을 훔쳐내기 위해 사이버범죄자들이 얼마나 지능적으로 도구와 정보를 이용하고 있는 지를 보여주고 있습니다. 사이버범죄자들의 이러한 집요함과 네트워크에 대한 강력한 보안 전략을 수립하는 것이 쉽지 않은 소기업들의 상황이 맞물려 범죄자들에게 큰 수익을 보장하는 시나리오가 완성됩니다.

Uche와 Okiki의 범죄 활동 및 HawkEye에 대한 기술 분석에 대한 전문은 “HawkEye 살펴보기: 간단한 키로거를 이용하여 전 세계 중소기업을 공격한 나이지리아 사이버범죄자들”이라는 제목의 연구 논문에 실려있습니다.

원문: Cybercriminal Sharpshooters: Nigerian Scammers Use HawkEye to Attack Small Businesses