<aside> <img src="/icons/reorder_green.svg" alt="/icons/reorder_green.svg" width="40px" /> **Home • Posts • About Me • Pages • Contact Me**

</aside>

시리즈 연재

<aside>

🎯 Vol.1 UAT-5918: 대만 중요 인프라를 노린 오픈소스 무기화 공격 분석 🎯 Vol.2 Lazarus 그룹: Impacket을 활용한 lateral movement 공격 분석 🎯 Vol.3 APT28 (Fancy Bear): Mimikatz와 PowerSploit을 활용한 권한 상승과 내부 침투 🎯 Vol.4 APT10: QuasarRAT과 PlugX를 활용한 장기 침투 및 정보 수집 작전 🎯 Vol.5 UNC2452 (SolarWinds 공격자): Cobalt Strike를 활용한 침투 후 활동 정밀 분석 🎯 Vol.6 FIN7: Carbanak과 AutoIt을 이용한 금융 시스템 침투 및 제어 🎯 vol.7 APT33: Ruler와 Roadtools를 활용한 정보 수집 및 내부 정찰 작전 🎯 Vol.8 Silent Librarian (TA407): 웹사이트 복제 도구를 활용한 학술기관 대상 피싱 공격 🎯 Vol.9 APT41: C2concealer와 ShadowPad를 활용한 공급망 침투 및 은닉 C2 인프라 구축 🎯 Vol.10 Turla: Metasploit Framework를 활용한 고급 침투 및 C2 인프라 구축

</aside>

목차

FIN7: Carbanak과 AutoIt을 이용한 금융 시스템 침투 및 제어

1. 공격 그룹 개요

FIN7(다른 이름: Carbon Spider, GOLD NIAGARA, Sangria Tempest, ITG14, ELBRUS)은 2013년경부터 활동해 온 고도로 정교화된 금전적 동기의 사이버 범죄 그룹입니다. 초기에는 주로 미국 내 소매업, 요식업, 호텔 등 POS 시스템을 표적으로 삼아 결제 카드 정보를 탈취했으나, 이후 금융 서비스, 소프트웨어, 컨설팅, 의료, 클라우드, 자동차 등 다양한 산업으로 공격 대상을 확장했습니다. 2020년경부터는 REvil, DarkSide 등 유명 랜섬웨어 그룹과 협력하거나 자체 개발한 DarkSide/BlackMatter RaaS를 운영하며 고가치 표적을 노리는 '빅 게임 헌팅(Big Game Hunting, BGH)' 방식으로 전략을 전환하는 모습을 보였습니다.

FIN7은 악명 높은 Carbanak 원격제어 백도어를 주요 공격 도구로 활용하여 장기간 시스템에 잠입하고 금융 시스템을 제어하는 것으로 잘 알려져 있습니다. 이들은 Carbanak 외에도 PowerShell 기반의 자체 스크립트 및 로더(예: POWERTRASH), JavaScript/VBScript 임플란트(예: GRIFFON, JSSLoader) 등 맞춤형 도구를 개발하여 사용합니다. 동시에, 공격 효율성과 탐지 회피를 위해 다양한 오픈소스 및 상용/합법적 도구(AutoIt, PowerSploit, OpenSSH, Mimikatz, Cobalt Strike)를 적극적으로 악용하고 변형하여 사용하는 하이브리드 전략을 구사합니다.

2. 공격자가 사용한 오픈소스 도구