사이버 범죄그룹 FIN6, 2000만개 카드정보 훔쳐 4600억원 벌어

파이어아이, POS 해킹·카드정보 탈취하는 사이버 공격그룹 추적 보고서 발표

POS 시스템 해킹으로 카드정보를 탈취해 4600억원의 수익을 올린 공격그룹이 발견됐다.

파이어아이가 26일 발표한 보고서에 따르면 ‘FIN6’으로 명명된 사이버 범죄그룹이 POS 시스템에서 빼돌린

2000만개의 카드정보를 암시장에 판매했으며, 4억달러(약 4600억원)의 수익을 올렸을 것으로 추정된다.

메타스플로잇 파워셀 모듈 이용해 공격

이 보고서는 파이어아이가 올해 초 인수한 인텔리전스 전문 기업 아이사이트 파트너즈와 함께 조사한 것으로,

FIN6이 타깃 시스템을 어떻게 감염시켰는지는 밝혀지지 않았지만, 악성코드 ‘그랩뉴(GRABNEW)’를 통해

피해 네트워크의 로그인 정보인 크리덴셜을 확보한 것으로 추측된다.

권한을 확보한 후에는 메타스플로잇(Metasploit) 파워셀 모듈을 이용해 셀코드를 다운받고 실행하거나

특정 포트로부터 다운받은 셀코드를 실행하는 로컬 리스너(local listener)를 설치한다.

FIN6은 감염된 환경에 백도어를 생성하기 위해 하드택(HARDTACK)과

십브레드(SHIPBREAD)라는 두 가지 종류의 다운로더를 이용한다.

두 가지 툴은 모두 원격 C&C 서버에 연결되도록 설정돼 있으며 셀코드를 다운해 실행한다.

백도어를 통해 네트워크에 접근하면, FIN6은 권한상승을 위해 윈도우 크리덴셜 에디터를 이용한다.

이 과정에서 공격 그룹은 다양한 호스트의 관리자 계정을 감염시키고자 CVE-2013-3660, CVE-2011-2005,

CVE-2010-4398등과 같은 마이크로소프트 윈도우 취약점을 이용한다.

기사 원문보기 : http://www.datanet.co.kr/news/articleView.html?idxno=98889