트렌드 마이크로는 2014 년 3 월, 언더 그라운드 포럼에서 그림 1의 리뷰를 확인했습니다.
 |
이 문제 러시아어 게시물은 "BlackOS '로 알려진 신제품을 광고 한 것입니다. OS라고해도 운영 체제 (OS)가 없습니다. 그러나 「Black」의 이름대로, 분명히 잘못된 것입니다. BlackOS는 인터넷 트래픽을 잘못 조작하는 것으로, 조작 된 또는 잘못된 Web 사이트에서 다른 악성 사이트로 유도하는 데 사용됩니다.
이런 종류의 제품은 언더 그라운드 커뮤니티는 새로운 것이 아닙니다. 미국의 보안 전문가 Brian Krebs 씨도 2012 년 5 월에 유사한 서비스를 제공하는 Web 사이트 "iFrameservice.net"에 대해 언급했습니다. BlackOS 자체도 완전히 새로운 것은 없습니다. BlackOS는 2013 년 9 월 보안 전문가 가 언급 한 'Tale of the North "의 업데이트 버전입니다.
■ "BlackOS"기능을
BlackOS과 유사한 패키지 제품은 변조 된 또는 잘못된 Web 사이트의 관리와 공격의 과정을 쉽게 자동화하도록 설계되어 있습니다. 따라서 사이버 범죄자들은 피해자로부터 최대한의 이익을 착취 할 수 있습니다. 또한 Web 트래픽과 각 기능을 관리하기위한 Web 인터페이스가 구현되어 있습니다. 대용량의 인터넷 트래픽에도 대응 가능하며, 사용자가 원하는 방식으로 iframe을 삽입하거나 트래픽을 유도 할 수 있습니다.
BlackOS는 특별히 싼 것은 아닙니다. 1 년간 3,800 달러 (2014 년 3 월 25 일 현재 약 38 만 8 천 원)입니다. 다시 설치 및 재건에 100 달러 (약 1 만 원)가 부과됩니다. 예산에 한계가있는 사이버 범죄자라면 기본 설정 (16GB RAM, 옥타 코어 CPU, SSD 스토리지)에서 매달 100 달러 (약 1 만원)에 빌릴 수 있습니다. 또한 BlackOS 작성자에 대한 지불은 전자 화폐 "Bitcoin (비트 코인)」 「Litecoin"또는 온라인 금융 서비스 "Perfect Money"를 통해서만 접수 가능합니다.
BlackOS 기능 중 하나는 온라인 스캐너와 통합, Web 사이트가 보안 제품에 의해 이미 차단되어 있는지 확인합니다 (그림 2 참조).
 |
BlackOS는 상술 한 바와 같이, Tale of the North의 업데이트 된 것 같습니다. 그럼 왜 BlackOS는 "새로운 제품"으로 판매되고있는 것일까 요? 먼저 Tale of the North 작성자 Peter Severa 자세히 살펴 보겠습니다.
■ "Peter Severa '와'Tale of the North"
다양한 언더 그라운드 포럼에서 "Severa"라고 자칭 "Peter Severa"는 2003 년부터 스팸 메일 활동을 시작했습니다.Severa는 스팸 메일을 보내 " Waledac」나 「Kelihos "등 다양한 봇넷을 이용했습니다. 실제로 현재 Severa는 Kelihos의 이용에 관하여 형사 책임에 추궁 당하고 있습니다. 하지만 그런 것은意に介さず, Severa는 현재도 언더 그라운드에서 활동을 계속하고 있습니다.
인터넷 메신저 "ICQ"및 "Jabber"그의 계정은 언더 그라운드 커뮤니티로 잘 알려져 있습니다. 또한 한때 온라인 전용 선불 전자 화폐 "Webmoney"계정을 가지고 있던 적도있었습니다 만 현재는 사용 금지되어 있습니다. Microsoft는이 계정은 그의 「별명」에서 이용되고 있었다고 생각하고, Severa 이렇게 신원을 숨기고있었습니다. 또한 당사는 Severa 새로운 Webmoney 계정을 갖고 있다고 생각합니다.
Severa는 스팸 메일을 보내고 해당 링크를 클릭 한 사용자의 Web 트래픽을 관리하기 위해 Tale of the North를 만들었습니다. 예를 들어, 사용자의 지리적 위치 정보를 통해 사용자를 다양한 Web 사이트를 방문 할 수있었습니다.
그러나 최근 Severa과 Tale of the North에 참여하는 다른 회원들과의 사이에 갈등이 있었던 것 같습니다. 그림 3에서와 같이 Severa이 그룹에서 떨어져 남은 멤버가 BlackOS 제품 이름으로 활동을 계속하고 있으면, 언더 그라운드 포럼에 게시합니다.
 |
현재 누가 BlackOS을 판매하고 있는지는 잘 알려져 있지 않습니다. BlackOS을 판매하는 행위는 Jabber 계정을 공개하고 고객이 원하는 사용자는 연락을 취할 수 있습니다. 또한 Manager라는 대화명도 이용하고 있습니다 만, 더 이상 배경은 밝혀져 있지 않습니다.
Severa 내용은 어떨까요. 그도 언더 그라운드 커뮤니티 떨어져 있지 않습니다. 현재 Severa 두 제휴 프로그램을 운영하고 있습니다. 두 프로그램 모두 그의 이름의 일부를 따서 "SevPod"및 "SevSka"라고되어 있습니다. 모두 스팸 머에 가담하는 악성 프로그램을 확산합니다.
Severa 2 월 그림 4의 광고 게시판에 게재하고 있습니다.
 |
다음은 러시아어로 작성 된 문장의 일부를 번역 한 것입니다.
새 프로젝트를 소개합니다. <제휴 프로그램의 URL>에 대체 개인 제휴입니다. 이것은 장기간 사용할 수있는 새로운 제품으로, 비록 배송을 그만 두어도 다운로드하여 몇 달 동안 수익을 제공합니다. 다른 대안 제품과 달리 실질적으로 모든 국가에 구매자가 있어요. 물론 기적은 일어나지 않습니다. 미국, 호주, 영국, 유럽에서 최대의 이익을 얻을 것이다. 동시에 제 3 세계 국가에서 장기간 안정적인 수익을 얻을 수 있습니다. 부정 클릭에 의해 얻은 금액의 95 %가 소득이 귀하의 광고에 지불합니다.
SevPod 대한 페이지는 다음과 같이 계속됩니다.
SERP에 바뀌는 최신 제휴 프로그램입니다. 최대 수의 구매자가 내려받은 금액의 95 %를 고객에게 지불합니다.전세계 대부분의 국가에서의 클릭을 환금합니다. 또한 Web 사이트의 사용자 동작 당 지불보기 당 지불 다른 콘텐츠와의 상호 작용 등 트래픽을 수익 창출보다 현대적인 방법을 이용하고 있습니다. 클릭 봇 트래픽과 달리 원시 트래픽을 이용하기 때문에 오랜 기간 동안 더 많은 수익을 제공합니다.
이러한 게시물이나 Web 사이트에서 Severa는 여전히 트래픽 리디렉션 서비스 및 스팸 메일 활동에 관여하는 것을 알 수 있습니다. 그러나 그는 사이버 범죄 기술 면보다 비즈니스 측면에 중점을두고 있다고 말할 수 있을지도 모릅니다.
이러한 정보는 다양한 언더 그라운드에서 정보를 수집 한 것으로, 기본적으로 모든 공개 된 것입니다. 당사는 본 문서에서 언급하지 않은 추가 정보를 가지고 있으며, Severa 또는 BlackOS 작성자의 조사를하고있는 경찰 기관에 당사의 접촉을 제의하고 있습니다.
참고 기사 :
by Trend Micro
'Security_News > 해외보안소식' 카테고리의 다른 글
| 오늘의 보안뉴스 정리 2014-03-27 (0) | 2014.03.27 |
|---|---|
| 언더 그라운드에서 판매되고있는 'ATM 스키머」나 「가짜 POS 단말기 "3D 인쇄 기술로 대량 생산 (0) | 2014.03.26 |
| 사이버보안에 커리어 패스 필요 (0) | 2014.03.26 |
| ‘GameOver’ Banking Trojan (0) | 2014.03.26 |
| 미국 대부분 정부기관 새로운 운영체제로 업그레이드 (0) | 2014.03.26 |