파이어아이가 올해 초 인수한 인텔리전스 전문 기업 아이사이트 파트너즈와 함께 공동으로 조사한 내용을 바탕으로 ‘FIN6’라 명명된 사이버 범죄 그룹에 대한 보고서를 발간했다. FIN6은 POS시스템을 공격, 결제 카드 정보를 탈취하는 공격 그룹이다.

파이어아이는 지난해 자사의 침해조사전문 업체인 맨디언트를 통해 FIN6 그룹이 숙박 및 소매업체의 POS 시스템에서 수백만개의 결제카드 번호를 탈취한 정황을 조사한 데 이어 올해 새로 인수한 아이사이트 파트너즈와의 파트너십을 통해 강화된 인텔리전스 역량으로 사이버 범죄자들의 협업 체계까지 밝혀냈다.

파이어아이는 보고서를 통해 FIN6 그룹의 공격 경로, 이용 악성 코드 등 기술적인 공격 정보뿐 아니라 공격 그룹이 탈취한 정보를 암시장에서 거래한 정황까지 포착해 사이버 위협 과정 전체에 대한 가시성을 제공하고 있다.

보고서에 따르면 FIN6의 타깃 시스템 감염 과정에 대해서는 명확히 밝혀지지 않았지만 악성코드 ‘그랩뉴(GRABNEW)’를 통해 피해 네트워크의 로그인 정보인 크리덴셜(credential)을 확보한 것으로 추측된다.

권한 확보 후에는 메타스플로잇(Metasploit) 파워셸 모듈을 이용해 셸코드를 다운받고 실행하거나 특정 포트로부터 다운받은 셸코드를 실행하는 로컬 리스너(local listener)를 설치한다.