2020-02-22 09:40 (토)
악성코드 툴 플랫폼 'Adwind RAT'...돈만 내면 누구나 사용가능해
상태바
악성코드 툴 플랫폼 'Adwind RAT'...돈만 내면 누구나 사용가능해
  • 길민권
  • 승인 2016.02.15 19:07
이 기사를 공유합니다

Adwind, 전 세계 40만명 이상 피해자 낸 유료 악성코드 서비스 플랫폼
다양한 플랫폼을 지원하는 다기능 악성코드인 Adwind RAT(원격 액세스 도구)에 대한 광범위한 연구 조사 결과가 발표됐다.
 
카스퍼스키랩 글로벌 위협 정보 분석팀에 따르면, AlienSpy, Frutas, Unrecom, Sockrat, JSocket 및 jRat이라고도 불리는 이 프로그램은 하나의 악성 코드 서비스 플랫폼을 통해 유포되는 것으로 알려져 있다.

 
2013년~2016년 동안 실시된 조사 결과에 따르면 Adwind 악성코드는 여러 버전으로 변조되어 다양한 공격에 사용되었으며 전 세계적으로 44만 3천 명 이상에 달하는 개인 사용자, 기업, 기관에 피해를 입힌 것으로 밝혀졌다. 이 서비스 플랫폼과 관련 악성코드는 여전히 활동 중이다.
 
2015년 말, 카스퍼스키랩 연구진은 싱가포르 한 은행에 대해 시도된 표적 공격을 통해 발견된 흔치 않은 악성코드의 존재에 대해 알게 되었다. 표적이 된 은행 직원이 받은 스피어 피싱 이메일에는 악성 JAR 파일이 첨부되어 있었다. 이 악성코드는 여러 기능을 가지고 있었으며, 다양한 플랫폼에서 실행 가능했고 어떤 안티 바이러스 솔루션에도 탐지되지 않았다는 점이 연구진의 관심을 끌었다.
 
공격에 사용된 프로그램은 Adwind RAT로 밝혀졌다. Adwind RAT는 공격자가 구매해 사용하는 백도어 프로그램으로 자바 기반으로 작성되었으며 윈도우(Windows), OS X, 리눅스(Linux) 및 안드로이드(Android)를 지원한다. 그 주요 기능으로는 원격 데스크톱 제어, 데이터 수집, 데이터 유출 등이 있다.
 
일단, 표적이 된 사용자가 첨부된 JAR 파일을 열면 악성 코드가 자동으로 설치되어 C&C 서버와 통신을 시도한다. Adwind RAT의 기능은 다음과 같다.
 
키입력 수집, 캐시에 저장된 암호 훔치기 및 웹 양식에서 데이터 수집, 스크린샷 찍기, 웹캠에서 사진 찍기 및 동영상 녹화, 마이크 사운드 녹음, 파일 전송, 일반적인 시스템 및 사용자 정보 수집, 암호화된 화폐 지갑의 암호 훔치기, SMS 관리(Android), VPN 인증서 훔치기 등이다.
 
Adwind RAT는 주로 대량 스팸을 통해 공격 기회를 노리는 공격자에 의해 사용되지만, 표적형 공격에서 사용된 사례도 있다. 2015년 8월, Adwind는 같은 해 1월에 살해된 아르헨티나 감찰관에 대한 사이버 스파이 행위와 관련하여 뉴스에 등장했다.
 
싱가포르 은행에 발생한 공격 또한 Adwind가 표적형 공격에 사용된 또 다른 사례다. Adwind RAT가 사용된 사건을 좀 더 자세히 살펴보면 이러한 표적형 공격이 더 많이 있음을 알 수 있다. 
 
조사 기간 동안 카스퍼스키랩 연구진은 알려지지 않은 범죄자가 Adwind 악성코드를 유포 해 스피어 피싱 공격을 실행한 사례를 약 200개 정도 분석했고, 그 결과 주요 표적이 되는 업계를 밝혀낼 수 있었다.
 
주요 공격 대상업종은 제조, 금융, 엔지니어링, 설계, 소매, 정부, 운송, 통신, 소프트웨어,교육, 식품 생산, 의료, 미디어, 에너지 등이다.
 
카스퍼스키 시큐리티 네트워크(Kaspersky Security Network) 정보를 바탕으로 2015년 8월부터 2016년 1월까지 6개월 동안 관찰된 스피어 피싱 공격 200개 샘플을 분석한 결과 6만 8천 명 이상의 사용자가 Adwind RAT 악성 코드 샘플을 접한 적이 있는 것으로 드러났다.
 
이 기간 동안 KSN에 등록된 피해자의 지리적 분포를 살펴보면 절반에 가까운 49%가 아랍에미리트, 독일, 인도, 미국, 이탈리아, 러시아, 베트남, 홍콩, 터키, 대만, 10개국에 거주하고 있었다.
 
식별된 표적의 프로필을 바탕으로 카스퍼스키랩 연구진은 Adwind 플랫폼을 구매한 범죄자를 분류했다. 보다 복잡하고 정교한 사기 행위를 위해 악성코드를 사용하는 사기꾼, 부정한 방법을 사용하는 경쟁업체, 고용되어 스파이 행위를 하는 사이버 용병 그리고 주변 사람들의 사생활을 엿보려는 개인으로 나뉘었다.
 
Adwind RAT이 다른 악성코드와 크게 차별화되는 점은 유료 서비스의 형태로 공개적으로 유포된다는 점이다. 이 악성코드를 사용하는 대가로 ‘고객(범죄자)’이 악성코드 사용료를 지불하는 것이다.
 
여러 가지 관찰 사실에 대한 조사 결과를 바탕으로 카스퍼스키랩 연구진은 2015년 말을 기준으로 이 악성코드 시스템의 사용자는 약 1,800명에 달하는 것으로 추정하고 있다. 이는 현재 존재하는 악성코드 플랫폼 중 가장 큰 규모에 속한다.
 
카스퍼스키랩코리아 이창훈 지사장은 "현재 Adwind 플랫폼은 사이버 공격에 대한 전문 지식 없이도 범죄를 저지를 수 있게 해준다. 싱가포르 은행에 대한 공격을 조사한 결과 공격 배후의 범죄자는 전문적인 해커가 아니었으며, Adwind 플랫폼 ‘고객’의 대부분이 컴퓨터 사용에 있어 전문성은 없는 수준인 것으로 보인다”며 “이러한 점이 특히 걱정스러운 부분이다. 카스퍼스키랩에서는 이번 조사를 통해 보안 커뮤니티와 사법 기관 등의 주의를 환기시키고 Adwind 플랫폼을 완벽하게 없애는 데 필요한 조치를 취할 수 있기를 바란다"고 말했다.

 

★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com