ESET(이셋), 온라인 거래를 표적으로 하는 Evilnum Group 분석

 

사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 Evilnum 맬웨어의 배후에 있는 APT 그룹인 Evilnum의 운영에 대한 심층 분석을 발표했습니다.

 

ESET의 원격 분석에 따르면, Evilnum의 공격 대상은 온라인 거래를 위한 플랫폼 및 도구와 같은 금융 기술 회사로 밝혀졌습니다. 대부분의 표적이 EU 국가와 영국에 있지만 ESET은 호주와 캐나다 같은 국가에서도 공격이 발생한 것을 확인했습니다. Evilnum 그룹의 주요 목표는 대상을 염탐하고 대상 회사와 고객 모두의 재무 정보를 얻는 것입니다.

 

ESET 연구원 Matias Porolli는,
“이 맬웨어는 최소한 2018년부터 발견되어 이전에 문서화 되었지만 이 그룹의 배후와 운영 방식에 대해서는 거의 공개된 바가 없습니다. 그 툴셋과 인프라는 발전해 왔으며 이제는 악명 높은 FIN6 및 Cobalt Group을 고객으로 하는 맬웨어 서비스 제공 업체인 Golden Chickens에서 구매한 툴과 결합된 맞춤형 수제 악성 코드로 구성되어 있습니다."
라고 설명했습니다.

 

Evilnum은 고객 신용카드 정보 및 주소/신분 증명서, 고객 목록, 투자 및 거래 작업이 포함된 스프레드시트 및 문서, 소프트웨어/플랫폼 거래를 위한 소프트웨어 라이센스 및 자격 증명, 이메일 자격 증명, 기타 데이터 등 중요한 정보를 도용합니다. 이 그룹은 VPN 구성과 같은 IT 관련 정보에도 액세스할 수 있습니다.

 

Porolli는,
“Google 드라이브에서 호스팅되는 ZIP 파일에 대한 링크가 포함된 스피어 피싱 이메일이 공격 대상에 접근합니다. 이 아카이브에는 미끼 문서를 표시하면서 악성 구성 요소를 추출하고 실행하는 몇가지 바로가기 파일이 들어 있습니다.”
라고 설명합니다.

 

이 미끼 문서들은 진짜처럼 보이며 새로운 피해자에 감염 시도를 하면서 그룹의 현재 공격 대상으로부터 지속적/적극적으로 수집됩니다. 이것은 고객으로부터 정기적으로 신분 증명서 또는 신용 카드를 받는 기술지원 담당자 및 계정 관리자를 대상으로 합니다.

 

 

많은 맬웨어와 마찬가지로 Evilnum도 명령을 전송할 수 있습니다. 이러한 명령 중에는 Google Chrome에 저장된 암호 수집 및 전송, 스크린샷 촬영, 맬웨어를 중지 및 지속성을 제거, Google Chrome 쿠키 수집하여 명령 및 제어 서버로 보내기도 합니다.

 

Porolli는,
“Evilnum은 운영에 대규모 인프라를 활용하며, 다양한 유형의 통신을 위해 여러 대의 서로 다른 서버를 사용합니다.”
라고 덧붙였습니다.

 

Evilnum 악성 프로그램 및 APT 그룹에 대한 자세한 기술 정보는 WeLiveSecurity 블로그 게시물 “More evil: a deep look at Evilnum and its toolset”을 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우하십시오.