파이어아이, 금전 목적의 공격그룹 ‘FIN11’ 분석 발표
2020년 10월 16일
트위터로 보내기페이스북으로 보내기구글플러스로 보내기

16281d01dcc9d2e2df1e656d65de0407_1602799521_4066.png


파이어아이가 금전 목적의 공격 그룹 FIN11에 관한 자세한 내용을 담은 ‘FIN11 리포트’를 공개했다. 맨디언트에 따르면, FIN11은 2016년부터 활동한 것으로 관찰됐으며, 기존의 다양한 공격 전략과 기법뿐만 아니라FlawedAmmy(플로드에이미), FRIENDSPEAK(프렌드스피크), MIXLABEL(믹스라벨) 등 독자적인 코드군을 사용하는 공격그룹이다. 

 

FIN11은 맨디언트 연구원이 지금까지 목격한 금전 목적의 공격자 중 가장 규모가 크고 지속력이 강한 멀웨어를 배포한다. FIN11은 대량의 악성 이메일 공격 캠페인 외에도 멀웨어 배포 전략 및 기법을 끊임없이 진화시킨다는 점에서 주목할 만 하다. 맨디언트 컨설턴트는 FIN11이 기업 네트워크에 접근하여 불법 수익을 창출하려 한 여러 사건에 대응해왔다. 

 

최근 FIN11의 공격 활동은 대부분CLOP 랜섬웨어를 배포해 피해자 네트워크에 침입하여 데이터를 탈취하는 데까지 이어진다. 포스(POS; point-of-sale) 멀웨어를 배포했던 예전 방식에 비해 점차 유연하고 진화된 방식으로 접근하고 있다. 

 

파이어아이 FIN11 리포트를 통해 다음의 주요 내용을 확인할 수 있다

 

●  FIN11은 맨디언트 위협 인텔리전스(Mandiant Threat Intelligence)가 최근 주시한 금전적 목적의 공격 그룹이며, 대부분 독립 국가 연합(Commonwealth Independent States, CIS)의 소속으로 활동하고 있는 것으로 추정된다.

 

●  FIN11은 전세계 다양한 지역 및 산업의 기업을 공격해왔다. 예를 들어, 맨디언트가 한 주간 발견한 공격만 해도 제약 산업, 해운 및 물류 기업, 북미 및 유럽 조직, 독일어 및 이탈리아어 사용자 등 넓은 범위에 걸쳐 나타났다. FIN11은 기업 외에도 학술, 정부, 공공 기관까지도 공격 대상으로 삼는다. 

 

●  최소 2016년부터 활동하기 시작한 FIN11은 멀웨어를 배포하기 위해 광범위한 피싱 공격을 실시해왔다. FIN11은 보통 일주일에 수 천 통의 이메일을 전송하는 등 다수의 피싱 공격을 실시하며, 매달 배포 전략을 변경한다. 

 

●  최근 FIN11은 실질적인 수익을 얻기 위해 복합적인 탈취 공격 수법을 사용한다. CLOP 랜섬웨어를 활용해 데이터를 갈취한 후 피해자에게 이에 대한 대가로 적게는 수십만 달러에서 많게는 천만 달러까지 요구하며 지불하지 않으면 유출된 데이터를 공개하겠다고 압박 및 협박한다.

그래픽 / 영상
많이 본 뉴스