Adwind, 전세계 40만명 이상 피해자 낸 유료 악성코드 서비스 플랫폼

카스퍼스키랩의 글로벌 위협 정보 분석팀에서 다양한 플랫폼을 지원하는 다기능 악성 코드인 Adwind RAT(원격 액세스 도구)에 대한 광범위한 연구 조사 결과를 발표했다.

AlienSpy, Frutas, Unrecom, Sockrat, JSocket 및 jRat이라고도 불리는 이 프로그램은 하나의 악성 코드 서비스 플랫폼을 통해 유포되는 것으로 알려져 있다. 2013년~2016년 동안 실시된 조사 결과에 따르면 Adwind 악성 코드는 여러 버전으로 변조돼 다양한 공격에 사용됐으며 전세계적으로 44만3000명 이상에 달하는 개인 사용자, 기업, 기관에 피해를 입힌 것으로 밝혀졌다. 이 서비스 플랫폼과 관련 악성 코드는 여전히 활동 중이다.

2015년 말 카스퍼스키랩의 연구진은 싱가포르의 한 은행에 대해 시도된 표적 공격을 통해 발견된 흔치 않은 악성 코드의 존재에 대해 알게 됐다. 표적이 된 은행 직원이 받은 스피어 피싱 이메일에는 악성 JAR 파일이 첨부돼 있었다.

이 악성 코드는 여러 기능을 가지고 있었으며 다양한 플랫폼에서 실행 가능했고 어떤 안티 바이러스 솔루션에도 탐지되지 않았다는 점이 연구진의 관심을 끌었다.

공격에 사용된 프로그램은 Adwind RAT로 밝혀졌다. Adwind RAT는 공격자가 구매해 사용하는 백도어 프로그램으로 자바 기반으로 작성됐으며 윈도, OS X, 리눅스 및 안드로이드를 지원한다. 그 주요 기능으로는 원격 데스크톱 제어, 데이터 수집, 데이터 유출 등이 있다.

일단 표적이 된 사용자가 첨부된 JAR 파일을 열면 악성 코드가 자동으로 설치돼 C&C 서버와 통신을 시도한다.

Adwind RAT의 기능은 ▲키입력 수집 ▲캐시에 저장된 암호 훔치기 및 웹 양식에서 데이터 수집 ▲스크린샷 찍기 ▲웹캠에서 사진 찍기 및 동영상 녹화 ▲마이크 사운드 녹음 ▲파일 전송 ▲일반적인 시스템 및 사용자 정보 수집 ▲암호화된 화폐 지갑의 암호 훔치기 ▲SMS 관리(Android) ▲VPN 인증서 훔치기 등을 포함한다.

Adwind RAT는 주로 대량 스팸을 통해 공격 기회를 노리는 공격자에 의해 사용되지만 표적형 공격에서 사용된 사례도 있다. 2015년 8월 Adwind는 같은 해 1월에 살해된 아르헨티나 감찰관에 대한 사이버 스파이 행위와 관련하여 뉴스에 등장했다.

싱가포르의 은행에 발생한 공격 또한 Adwind가 표적형 공격에 사용된 또 다른 사례다. Adwind RAT가 사용된 사건을 좀 더 자세히 살펴보면 이러한 표적형 공격이 더 많이 있음을 알 수 있다.

조사 기간 동안 카스퍼스키랩의 연구진은 알려지지 않은 범죄자가 Adwind 악성 코드를 유포하여 스피어 피싱 공격을 실행한 사례를 약 200개 정도 분석했고 그 결과 ▲제조 ▲금융 ▲엔지니어링 ▲설계 ▲소매 ▲정부 ▲운송 ▲ 통신 ▲소프트웨어 ▲교육 ▲식품 생산 ▲의료 ▲미디어 ▲에너지 등 주요 표적이 되는 업계를 밝혀낼 수 있었다.

카스퍼스키 시큐리티 네트워크의 정보를 바탕으로 2015년 8월부터 2016년 1월까지 6개월 동안 관찰된 스피어 피싱 공격 200개 샘플을 분석한 결과 6만8000명 이상의 사용자가 Adwind RAT 악성 코드 샘플을 접한 적이 있는 것으로 드러났다.

이 기간 동안 KSN에 등록된 피해자의 지리적 분포를 살펴보면 절반에 가까운 49%가 아랍에미리트, 독일, 인도, 미국, 이탈리아, 러시아, 베트남, 홍콩, 터키, 대만, 10개국에 거주하고 있었다.

식별된 표적의 프로필을 바탕으로 카스퍼스키랩 연구진은 Adwind 플랫폼을 구매한 범죄자를 ▲보다 복잡하고 정교한 사기 행위를 위해 악성 코드를 사용하는 사기꾼 ▲부정한 방법을 사용하는 경쟁업체 ▲고용돼 스파이 행위를 하는 사이버 용병 ▲주변 사람들의 사생활을 엿보려는 개인 등과 같이 분류했다.

Adwind RAT이 다른 악성 코드와 크게 차별화되는 점은 유료 서비스의 형태로 공개적으로 유포된다는 점이다. 이 악성 코드를 사용하는 대가로 ‘고객(범죄자)’이 악성 코드 사용료를 지불하는 것이다.

여러 가지 관찰 사실에 대한 조사 결과를 바탕으로 카스퍼스키랩 연구진은 2015년 말을 기준으로 이 악성 코드 시스템의 사용자는 약 1800명에 달하는 것으로 추정하고 있다. 이는 현재 존재하는 악성 코드 플랫폼 중 가장 큰 규모에 속한다.

이창훈 카스퍼스키랩코리아 지사장은 “현재의 Adwind 플랫폼은 사이버 공격에 대한 전문 지식 없이도 범죄를 저지를 수 있게 해준다. 싱가포르의 은행에 대한 공격을 조사한 결과 공격 배후의 범죄자는 전문적인 해커가 아니었으며 Adwind 플랫폼 고객의 대부분이 컴퓨터 사용에 있어 전문성은 없는 수준인 것으로 보인다. 이러한 점이 특히 걱정스러운 부분이다. 카스퍼스키랩에서는 이번 조사를 통해 보안 커뮤니티와 사법 기관 등의 주의를 환기시키고 Adwind 플랫폼을 완벽하게 없애는 데 필요한 조치를 취할 수 있기를 바라고 있다”고 말했습니다.