BEC 공격을 일삼던 나이지리아 해커가 에이전트 테슬라 사용하더니 스스로를 감염시키기에 이르렀다. 보안 전문 업체가 이를 통해 공격자들을 추적하기 시작했고, 결국 해커의 공격 인프라와 신원까지 알아내는 데 성공했다.
[보안뉴스 문가용 기자] 지난 수년 동안 2만 8천여 피해자들로부터 80만 개 이상의 크리덴셜을 훔쳤던 나이지리아 해커가 최근 자신의 컴퓨터를 스스로 감염시켜 신원을 노출시키는 일이 발생했다. 나이지리아의 해커들을 수년 동안 추적해 왔던 보안 업체 멀웨어바이츠(Malwarebytes)가 이 사건과 관련된 내용을 상세히 발표했다.
![[보안뉴스 / 5.9.] 나이지리아의 해커, 에이전트 테슬라로 스스로를 감염시켜](http://www.boannews.com/media/upFiles2/2022/05/950872360_6776.jpg)
[이미지 = utoimage]
말어웨바이츠가 추적을 진행했던 지난 2년 동안 문제의 나이지리아 해커는 BEC 공격 등의 수법에서 더 나아가 에이전트 테슬라(Agent Tesla)라는 원격 접근 트로이목마를 최근 들어 활용하기 시작했으며, 이를 통해 개인 정보를 훔치는 활동을 해왔다고 한다. 에이전트 테슬라는 다양한 해킹 조직들 사이에서 널리 사용되는 RAT이다.
멀웨어바이츠에 의하면 문제의 나이지리아 해커는 에이전트 테슬라를 ‘최종 지불 건(Final Payment)’이라는 제목의 사기 이메일을 통해 퍼트리려 했다고 한다. 이들의 공격 대상은 우크라이나의 각종 단체들과 시민들이었으며, 여기에 속아 메일 내 악성 링크에 클릭할 경우 피해자들은 파일 공유 사이트로 안내되었다. 그리고 여기서부터 에이전트 테슬라 바이너리가 다운로드 되기 시작했다.
피해자의 컴퓨터가 에이전트 테슬라로 감염된 후 공격자는 C&C 서버로부터 에이전트 테슬라로 악성 메시지를 보내기 시작했다. 멀웨어바이츠의 연구원들은 이러한 활동들을 계속해서 찾아내며 공격자의 행위를 추적했다. 그런데 어느 날 이상한 점이 눈에 띄기 시작했다. Test successful이라는 글자가 들어간 메시지가 다량으로 발견된 것이다. 추적을 하니 메시지가 나오는 곳이 공격자의 컴퓨터였다. “이를 설명할 수 있는 건 딱 하나, 자기 스스로가 에이전트 테슬라에 감염됐다는 것이었습니다.”
더 추적해 보니 공격자가 저지른 실수가 몇 가지 더 발굴됐다. “가장 큰 실수는 정말로 자신의 컴퓨터를 에이전트 테슬라로 감염시킨 겁니다. 그렇게 함으로써 자신의 컴퓨터에 저장된 모든 크리덴셜들이 노출됐어요. 자신이 피해자를 양산시키는 것과 똑같은 수법으로 이번엔 스스로가 피해자가 된 것이죠.” 그러면서 공격자의 IP 주소가 발견됐고, 이를 통해 멀웨어바이츠는 공격자의 실제 신원과 거주지, 사진, 면허증 사본까지 찯아내는 데 성공했다.
빵 부스러기를 쫓아가다
멀웨어바이츠가 공격자의 IP 주소를 추적하면서 가장 먼저 발견한 것 중 하나는 공격자가 같은 IP로부터 20통이 넘는 이메일을 보냈다는 사실이었다. 즉 그가 왕성하게 공격하는 가운데 스스로를 감염시켰다는 뜻이 되는데, 아직 어떤 과정을 통해 그가 스스로를 감염시켰는지는 확실히 밝혀지지 않고 있다. 다만 공격자가 발송한 이메일들을 통해 공격자가 사용하고 있던 서비스들이 무엇인지는 알아낼 수 있었다.
“공격자는 자신의 악성 이메일을 보낼 피해자의 주소를 확보하기 위해 몇 가지 범죄 서비스를 활용하고 있었습니다. 또한 침해된 시스템으로부터 이메일 주소를 추출하는 서비스도 활용하고 있었고요. 그 외에 파일 호스팅 및 스토리지 서비스와 가상 비밀 서버 서비스, VPN과 DNS 서비스도 사용 중에 있었습니다. 또한 공격자가 사용한 가명들과 이메일 계정들도 추가로 알아낼 수 있었습니다.”
이런 정보들을 하나하나 쫓아가다 보니 멀웨어바이츠의 연구원들은 이 나이지리아 해커가 한 나이지리아 해킹 갱단에 소속되어 있으며, 최소 2014년부터 각종 사이버 범죄 활동에 가담해 왔음을 알 수 있었다. 그 당시 해당 갱단은 리타 벤트(Rita Bent), 리 첸(Lee Chen), 존 쿠퍼(John Cooper)와 같은 가명을 가진 가상의 인물을 창조해 피해자들을 속이는 사기 활동을 벌였었다. 그러다가 2020년을 전후하여 멀웨어를 유포하는 방향으로 선회했다고 멀웨어바이츠는 설명한다.
결국 멀웨어바이츠는 가장 유력한 용의자로 보이는 한 인물의 사진 몇 장까지 발굴하는 데 성공했다. 이버너 에이전트 테슬라 캠페인을 직접 시작한 것으로 의심된다고 한다. 또한 그의 운전면허증까지도 확보해 실제 신원마저 멀웨어바이츠의 손으로 넘어온 상태다. 하지만 아직 공개하지는 않고 있다. 다만 해당 인물은 85년 생이라고 하며, 멀웨어바이츠 내부에서는 E.K라고 부른다고 한다. 아직 멀웨어바이츠는 수사를 진행하고 있다.
3줄 요약
1. 한 나이지리아 해커, 최근 멀웨어 사용하다가 자기 스스로를 감염시킴.
2. 이를 추적한 멀웨어바이츠는 현재 공격자의 신원까지 확보한 상태.
3. 공격자의 공격 인프라에 대한 윤곽도 어느 정도 파악하고 있는 상태.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 3.29.] 콘텐츠 전문기업 리디, 서버 캐시 설정 오류로 고객 개인정보 유출](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-30-135120-500x383.png)
![[보안뉴스 / 3.29.] 트위터 소스코드 유출 사건, 어쩌면 거대한 보안 재앙의 신호탄 될 수 있어](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-30-134630-500x383.png)
![[보안뉴스 / 3.27.] 아시아 최대 규모 통합보안 전시회 SECON & eGISEC 2023, 3월 29~31일 개최](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/03/주석-2023-03-28-171550-500x383.png)
![[보안뉴스 / 5.9.] 나이지리아의 해커, 에이전트 테슬라로 스스로를 감염시켜](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
