파이어아이(지사장 전수홍)가 북미지역에서 활동하며, 데이터 탈취 후 비트코인을 요구하는 해킹 그룹인 FIN10의 전술, 기법, 절차(TTP)관련 정보를 제공했다.
FIN10은 지난 2013년부터 2016년까지 캐나다를 비롯한 북미 지역에서 활동하며, 카지노 및 광산업계 조직의 네트워크를 공격해 민감한 데이터를 탈취한 뒤 데이터의 몸값으로 비트코인을 요구하는 등 금전적인 동기를 지닌 해킹그룹이다.
FIN10은 주로 공개적으로 사용 가능한 소프트웨어, 스크립트 및 기술을 통해 피해자 네트워크에 침투한 다음 일반인들이 접근 가능한 웹 사이트에 탈취한 데이터의 증거를 게시한다. 만약, 데이터의 몸값을 지불하지 않을 경우, FIN10은 탈취한 데이터를 공개하거나 공격 대상 조직의 정보 자산 및 시스템을 파괴하기도 한다.
FIN10의 최초 침입은 주로 스피어 피싱 이메일을 통해 이뤄지며, 이후에는 미터프리터(Meterpreter), 파워쉘 엠파이어(PowerShell Empire) 스플린터랫(SplinterRAT) 등 많이 사용되는 툴로 내부 시스템을 해킹한다. 이후, 피해자의 파일 서버에 접속해, 기업 비즈니스 데이터, 파일, 기록, 서신 및 고객 PII를 포함한 파일을 탈취한다.
FIN10은 드롭박스와 같은 클라우드 기반 파일 공유 및 저장 솔루션을 이용해 탈취한 데이터를 전송받으며, “pastebin.com,” “justpaste.it” 및 “thepiratebay.se” 등의 공개적으로 접근 가능한 웹사이트를 통해 탈취한 데이터를 보여준다. FIN10은 탈취한 데이터의 몸값으로 100~500개의 비트코인(약 125,000 달러~ 600,000 달러)을 요구한다. 10일 안에 비트코인을 지불하지 않으면, 1차로 회사 및 고객 데이터 일부를 인터넷에 공개하고 탈취한 정보에 나와 있는 고객에게 이메일을 통해 탈취 사실을 알린다. 72시간 안에 지불하지 않으면, 2번째 데이터 덤프를 진행하고, 이후 매 72시간마다 다크웹이나 토렌트 사이트에 누구나 다운로드 받을 수 있도록 공개한다.
FIN10은 두 해킹 사건에서 비트코인 지급을 끝까지 거부할 경우 윈도우 서버의 시스템 파일을 삭제하는 배치 스크립트를 실행하며 중요 시스템을 대상으로 마이크로소프트 robocopy 툴을 이용해 윈도우 디렉토리를 삭제했다.
파이어아이 코리아 전수홍 지사장은 “FIN10의 경우 주로 북미지역을 타겟으로 하고 있지만, 다른 지역에서도 금전적인 동기를 가지고 활동하는 해킹 그룹이 많이 존재하고 있다. 따라서, 전 세계의 모든 조직은 지능적인 사이버 공격의 위협을 탐지하고 대응해야 한다.” 말했다.
이향선기자 hslee@nextdaily.co.kr
관련기사
- 한국, 온라인 광고 악용한 멀버타이징 공격 대상 1위, 주의보 발령
- 중국 사이버 스파이 그룹 APT10, 해킹 대상 전 세계로 확장
- 북한 배후설, 워너크라이 랜섬웨어 분석해보니...
- 파이어아이, 차세대 엔드포인트 보안 강화하는 클라우드 및 가상 폼팩터 출시
- 무시하기 어려운 폼북 멀웨어, 미국 및 국내 항공, 국방 및 제조 분야 조준
- 북한, 美 전력회사 조준한 스피어피싱 공격시도…왜?
- MS 오피스 제로데이 취약점, 핀스파이 확산에 악용
- 사이버공격, 이젠 가상 화폐 영역으로 눈돌리나
- 러시아 사이버 공격 그룹 ‘APT28’ .. 호텔 공격에 나섰다