콘티는 사라졌지만 콘티 멤버들은 살아있다. 이들은 아직도 다크웹을 떠돌며 다른 그룹들과 함께 범죄를 저지르고 있다. 콘티의 유령과 같은 그들이 가는 곳마다 도미노 효과가 일어나는 중이다.
[보안뉴스 문가용 기자] 콘티(Conti) 랜섬웨어 그룹의 전 멤버들이 또 다른 사이버 범죄 그룹인 핀7(FIN7)과 협력하여 새로운 멀웨어를 적극 유포하고 있다. 이 멀웨어는 도미노(Domino)라고 불리며, 이러한 두 그룹의 연합 활동이 시작된 건 최소 지난 해 10월인 것으로 보인다. 사이버 범죄자들 사이의 협력 체계가 갈수록 견고해지고 있다.
![[보안뉴스 / 4.18.] 악명 높은 사이버 공격 단체 핀7과 콘티, 손 잡고 도미노 멀웨어 퍼트려](http://www.boannews.com/media/upFiles2/2023/04/670969303_6908.jpg)
[이미지 = utoimage]
도미노 멀웨어
IT 업체 IBM의 보안 담당 팀 엑스포스(X-Force)는 최근 도미노라는 새로운 멀웨어를 통해 코발트 스트라이크(Cobalt Strike)라는 모의 해킹 도구가 유포되고 있는 것을 발견했다. 캠페인을 운영하는 건 작년 5월 사라진 콘티(Conti) 그룹의 일원이었던 인물들로 보이며, 이들이 사용하는 건 핀7의 새 공격 도구인 도미노인 것으로 파악됐다. 엑스포스가 이를 찾아낸 건 2월의 일이었다.
“공격자들은 데이브(Dave)라는 이름의 로더를 사용하고 있었습니다. 데이브는 콘티 랜섬웨어를 유포하는 데 사용되던 로더였습니다. 다만 이번에는 콘티가 아니라 도미노라는 백도어였지요. 도미노는 피해자 시스템에 대한 기본적인 정보를 수집해 외부의 C&C 서버로 전송하는 기능을 가지고 있었습니다. 이런 정보를 받은 C&C 서버는 AES 알고리즘으로 암호화 된 페이로드를 되돌려 보냈고요. 페이로드는 여러 가지였는데, 기본적으로는 도미노와 매우 비슷한 백도어들이었습니다. 그리고 마지막으로는 코발트 스트라이크나 프로젝트 네메시스(Project Nemesis)가 설치됐습니다.”
엑스포스 팀의 샬로트 하몬드(Charlotte Hammond)는 “좀 더 가치가 높은 표적에는 코발트 스트라이크가, 그렇지 않은 표적에는 프로젝트 네메시스가 설치되는 식의 패턴이 발견되고 있기도 하다”고 설명을 추가한다. “또한 도미노는 이전에 핀7이 개발한 것으로 알려진 다이스로더(DiceLoader)나 티리온(Tirion)과 여러 면에서 흡사한 면을 가지고 있습니다.”
사이버 공격자들의 협업
핀7의 멀웨어를 콘티 그룹 멤버들이 사용하고 있다는 건, 사이버 범죄자들 사이의 교류와 협업 체계가 견고히 유지되고 있다는 것을 보여준다. 하몬드는 “이런 협업 체계가 진짜로 무서운 것”이라고 강조한다. “협업했을 때 불협화음이 나기도 하지만 대부분의 경우 보다 강력한 팀이 생겨납니다. 협업을 하기 전 각각의 힘으로는 상상할 수 없던 공격을 할 수 있게 되는 것이죠.”
핀7의 경우 2012년 등장한 이후 계속해서 활동 범위를 넓히는 단체라고 규정할 수 있다. 지불 카드와 관련된 데이터를 집중적으로 훔치고 판매하다가, 랜섬웨어 공격도 시작했으며, 그 외 여러 종류의 멀웨어들을 유포하거나 대여하는 사업에도 손을 대고 있다. 도소매와 숙박 업체들을 집중적으로 노리던 때도 있었고, 국방, 운송, IT 산업을 공략하던 때도 있었다. 지금은 금융과 공공 시설까지도 이들의 공격 표적이 되고 있다. 보안 업계는 핀7이 2012년부터 지금까지 최소 12억 달러를 번 것으로 추정하고 있다.
보안 업체 맨디언트(Mandiant)는 지난 해 여러 사이버 공격 활동들을 핀7과 연결 지은 바 있다. 확정적으로 말할 수는 없지만 공격 전략이나 기술, 절차가 핀7의 그것과 매우 흡사하다는 것이 그 이유였다.
사법부도 핀7의 공격 인프라를 무력화시키기 위해 여러 차례 시도를 했고, 2018년에는 핵심 운영자 중 한 명을 체포하는 데 성공했다. 그럴 때마다 잠시 주춤하긴 했지만 핀7은 여전히 강력한 위협으로 남아 있다.
3줄 요약
1. 콘티의 멤버들, 핀7과 손잡고 로더 멀웨어 유포 중.
2. 이번에 사용되고 있는 로더는 도미노로, 코발트 스트라이크를 심는 것이 공격자들의 최종 목표.
3. 사이버 범죄 그룹의 협업 체계가 성숙해지는 것이 진짜 위협.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 4.18.] 악명 높은 사이버 공격 단체 핀7과 콘티, 손 잡고 도미노 멀웨어 퍼트려](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
