구글, 빠르게 진화하며 탐지 피하는 러시아 해커 그룹 ‘콜드리버’ 주의보

[보안뉴스 김형근 기자] 러시아 지원을 받는 해커 집단 ‘콜드리버’(ColdRiver)가 자신들의 악성코드 플랫폼 ‘로스트키’(LOSTKEYS)가 구글에 의해 공개된 후 단 5일 만에 완전히 새로운 도구로 재무장해 공격을 재개했다.

공격 수법이 노출된 후 빠르게 새 악성코드를 개발하고 전술을 바꾸는 등 ‘노출되면 바로 진화’하는 첨단 해커 집단의 속도를 보여준다는 평가다.

구글 위협인텔리전스그룹(GTIG)에 따르면, 콜드리버는 ‘노로봇’(NOROBOT)이라는 초기 악성코드 다운로더를 활용한다. 이들은 기존 피싱 대신, “당신이 인간임을 증명하세요”와 같은 가짜 캡차(CAPTCHA) 방식을 이용해 타겟을 속여 악성 파일 실행을 유도한다.


▲콜드리버 멀웨어 공격 개요 [자료: 구글 위협인텔리전스그룹]

시스템에 설치된 노로봇은 하드코딩된 명령 및 제어(C2) 서버와 통신하며 다음 단계 페이로드를 다운로드하고 시스템을 장기간 제어할 수 있도록 준비한다.

콜드리버는 최근 노로봇의 암호화 키를 여러 조각으로 분할해 분석가들이 악성코드 감염 과정을 파악하기 어렵게 만드는 복잡성을 추가하기도 했다.

이들은 초기엔 노로봇을 사용해 파이썬 기반 백도어 ‘예스로봇’(YESROBOT)을 다운로드했다. 예스로봇은 시스템 전체 제어 권한을 부여했지만, 실행에 파이썬 3.8 환경이 필요해 덩치가 크고 방어팀에 쉽게 포착될 수 있었다.

콜드리버는 이런 단점을 인지하고 빠르게 예스로봇을 포기했다. 이후 6월부터 노로봇이 파워쉘 기반 백도어 ‘메이비로봇’(MAYBEROBOT)을 다운로드하도록 전환했다. 메이비로봇은 더 가볍고 영구적인 원격 제어 기능을 제공해, 공격자들이 명령을 실행하고 추가 페이로드를 다운로드할 수 있다.

GTIG는 “콜드리버가 노로봇 버전을 지속적으로 변경하며 탐지 시스템을 회피하기 위해 끊임없이 노력하고 있다”고 밝혔다. 성공률을 높이기 위해 감염 단계를 단순화했다가, 다시 탐지를 어렵게 하기 위해 복잡성을 재도입하는 유동적 전술을 구사한다는 설명이다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>