사이버 보안 기업 카스퍼스키(Kaspersky) 연구팀이 동남아시아 온라인 카지노 플랫폼을 겨냥한 사이버 공격을 발견했다.
보안 전문 매체 블리핑컴퓨터에 따르면, 연구팀이 발견한 공격은 ‘다이시F(DiceyF)’라는 해커 조직의 소행으로, 해커 조직은 지난해 11월부터 사이버 감시 공격을 개시했다.
다이시F는 온라인 카지노 사이트 감시 공격에 GamePlayerFramework라는 악성 프레임워크와 C#으로 재작성한 C++ 기반 멀웨어 ‘PuppetLoader’를 이용했다. 프레임워크는 페이로드 다운로드 프로그램과 멀웨어 배포, 플러그인 설치, 원격 접근 모듈, 키로거, 클립보드 기록 탈취 등을 개시한다.
카스퍼스키 연구팀이 가장 최근 샘플링한 실행 파일은 64bit .NET 파일이지만, 32bit 실행 파일과 DLL도 공격에 동원될 수 있다.
프레임워크는 피해자 기기에 설치된 후 C2 서버와 연결하여 20초 단위로 XOR-암호화 하트비트 패킷(XOR-encrypted heartbeat packets)을 전송한다. 패킷에는 피해자 이름과 사용자 세션 상태, 수집된 기록 규모, 현재 날짜와 시간 등이 포함되었다.
C2 서버는 추가 데이터 수집과 ‘cmd.exe’에서의 명령 실행, C2 구성 업데이트, 신규 플러그인 다운로드 등의 목적으로 15가지 명령에 따라 대응한다. C2 서버에 다운로드된 플러그인은 그 종류를 떠나 프레임워크로 직접 연결된다.
카스퍼스키 연구팀은 다이스F가 망고 직원 데이터 동기화 프로그램을 모방한 GUI 앱도 이용한 사실을 확인했다. 가짜 망고 앱은 보안 앱 설치 프로그램으로 위장한 채로 카지노 직원에게 접근한다. 주로 피싱 메일을 이용해 직원의 GUI 앱 설치를 유도한 것으로 추정된다.
GUI는 GamePlayerFramework로 C2 서버와 연결하며, 운영체제와 시스템, 네트워크 데이터, 망고 메신저 데이터를 서서히 제거한다.
카스퍼스키 연구팀은 다이시F의 공격이 실제 공격망 정보 탈취만큼 교묘한 수준은 아니지만, 공격 사실을 감지하고 피해를 막기 어렵다고 경고했다.
한편, 다이시F의 사이버 감시 공격의 정확한 피해 규모는 공개되지 않았다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[김대선 칼럼] 생(生)의 찬란한 동행과 사(死)의 품격 있는 갈무리](/news/data/2025/12/31/p1065594030678023_224_h.png)
