.jpg)
’미국이 현재 결정중인 베네수엘라의 향후 운명’ 압축 파일
대중 관심을 겨냥한 사회공학적 기법
[보안뉴스 김형근 기자] 사이버 범죄자들이 니콜라스 마두로 베네수엘라 대통령의 전격 체포 사건을 악용해 백도어 악성코드를 유포하고 있는 것으로 밝혀졌다.
보안 업체 다크트레이스는 사건 발생 불과 며칠 만에 ‘미국이 현재 결정중인 베네수엘라의 향후 운명’(US now deciding what’s next for Venezuela)이라는 제목의 압축 파일이 스피어 피싱 도구로 뿌려지고 있는 것을 포착했다.
이 공격은 마두로 대통령이 체포돼 뉴욕으로 압송된다는 최신 지정학적 이슈에 대한 대중의 폭발적인 관심을 정확히 겨냥한 치명적인 사회 공학적 기법이다.
▲마두로 베네수엘라 대통령 [자료: 연합]
압축 파일 내부에는 ‘마두로를 뉴욕으로 압송한다’는 이름의 실행 파일과 함께 교묘하게 조작된 쿠구(kugou.dll)라는 악성 동적 링크 라이브러리(DLL)가 포함되어 있다.
해커들은 중국의 유명 스트리밍 플랫폼인 쿠구의 정상적인 파일을 실행 도구로 활용하는 디엘엘 검색 순서 하이재킹(DLL Search-order Hijacking) 수법을 구사했다.
정상 프로그램이 실행될 때 같은 폴더에 있는 악성 DLL을 우선적으로 불러오게 해, 보안 솔루션의 감시를 회피하고 신뢰받는 프로세스 뒤에 숨어든 것이다.
악성코드는 실행 즉시 시스템 특정 경로에 폴더를 생성하고 자신의 이름을 ‘DataTechnology.exe’로 바꾸는 등 치밀한 은닉 과정을 거쳤다.
또한 윈도우 레지스트리를 조작해 컴퓨터가 부팅될 때마다 자동으로 악성코드가 구동되도록 설정해 공격의 지속성을 확보했다.
특히 사용자에게 컴퓨터 재부팅을 강요하는 가짜 메시지 창을 띄우고, 이에 응하지 않을 경우 시스템을 강제 종료시키는 극단적인 행태를 보였다.
재부팅 후에는 전송계층보안(TLS) 암호화 연결을 통해 공격자의 명령 및 제어(C&C) 서버와 통신하며 내부 데이터 탈취 및 추가 명령 수령을 준비했다.
이러한 발 빠른 공격 패턴은 과거 대형 사건이 터질 때마다 나타났던 중국계 해킹 그룹 무스탕 판다(Mustang Panda)의 전략과 매우 유사한 것으로 분석된다.
범죄자들은 인류 역사에 남을 만한 거대한 사건을 공격의 도화선으로 삼아, 보안 수칙보다는 뉴스를 먼저 확인하고 싶어 하는 인간의 본성을 파고들었다.
정상적인 바이너리를 악성 행위의 숙주로 사용하는 방식은 백신이 정상 활동과 악성 활동을 구분하기 어렵게 만드는 아주 치명적인 기법이다.
다크트레이스 연구원들은 “이번 캠페인이 특정 산업을 가리지 않고 의료, 금융 등 모든 분야에 걸쳐 무차별적으로 전개되고 있다”고 경고했다.
따라서 사용자들은 현재 진행 중인 마두로 대통령 관련 뉴스를 확인하려 할 때 이메일 첨부 파일이 아닌 공식 언론사 사이트를 직접 방문해야 한다.
기업 보안팀은 엔드포인트에서 발생하는 예기치 않은 DLL 로드와 C&C 서버로의 비정상 비콘(Beaconing) 행위를 즉각 차단할 수 있는 모니터링 체계를 강화해야 한다.
이번 사례는 기술적 방어선이 구축되기도 전에 사건의 파급력을 이용해 침투하는 현대 사이버 범죄의 민첩함을 여실히 보여주는 증거다.
결국 한 번의 호기심으로 인한 클릭이 조직 전체의 네트워크를 해커에게 넘겨주는 악수가 될 수 있다는 것을 모든 구성원이 뼈저리게 인식해야 한다.
[김형근 기자(editor@boannews.com)]
대중 관심을 겨냥한 사회공학적 기법
[보안뉴스 김형근 기자] 사이버 범죄자들이 니콜라스 마두로 베네수엘라 대통령의 전격 체포 사건을 악용해 백도어 악성코드를 유포하고 있는 것으로 밝혀졌다.
보안 업체 다크트레이스는 사건 발생 불과 며칠 만에 ‘미국이 현재 결정중인 베네수엘라의 향후 운명’(US now deciding what’s next for Venezuela)이라는 제목의 압축 파일이 스피어 피싱 도구로 뿌려지고 있는 것을 포착했다.
이 공격은 마두로 대통령이 체포돼 뉴욕으로 압송된다는 최신 지정학적 이슈에 대한 대중의 폭발적인 관심을 정확히 겨냥한 치명적인 사회 공학적 기법이다.
▲마두로 베네수엘라 대통령 [자료: 연합]
압축 파일 내부에는 ‘마두로를 뉴욕으로 압송한다’는 이름의 실행 파일과 함께 교묘하게 조작된 쿠구(kugou.dll)라는 악성 동적 링크 라이브러리(DLL)가 포함되어 있다.
해커들은 중국의 유명 스트리밍 플랫폼인 쿠구의 정상적인 파일을 실행 도구로 활용하는 디엘엘 검색 순서 하이재킹(DLL Search-order Hijacking) 수법을 구사했다.
정상 프로그램이 실행될 때 같은 폴더에 있는 악성 DLL을 우선적으로 불러오게 해, 보안 솔루션의 감시를 회피하고 신뢰받는 프로세스 뒤에 숨어든 것이다.
악성코드는 실행 즉시 시스템 특정 경로에 폴더를 생성하고 자신의 이름을 ‘DataTechnology.exe’로 바꾸는 등 치밀한 은닉 과정을 거쳤다.
또한 윈도우 레지스트리를 조작해 컴퓨터가 부팅될 때마다 자동으로 악성코드가 구동되도록 설정해 공격의 지속성을 확보했다.
특히 사용자에게 컴퓨터 재부팅을 강요하는 가짜 메시지 창을 띄우고, 이에 응하지 않을 경우 시스템을 강제 종료시키는 극단적인 행태를 보였다.
재부팅 후에는 전송계층보안(TLS) 암호화 연결을 통해 공격자의 명령 및 제어(C&C) 서버와 통신하며 내부 데이터 탈취 및 추가 명령 수령을 준비했다.
이러한 발 빠른 공격 패턴은 과거 대형 사건이 터질 때마다 나타났던 중국계 해킹 그룹 무스탕 판다(Mustang Panda)의 전략과 매우 유사한 것으로 분석된다.
범죄자들은 인류 역사에 남을 만한 거대한 사건을 공격의 도화선으로 삼아, 보안 수칙보다는 뉴스를 먼저 확인하고 싶어 하는 인간의 본성을 파고들었다.
정상적인 바이너리를 악성 행위의 숙주로 사용하는 방식은 백신이 정상 활동과 악성 활동을 구분하기 어렵게 만드는 아주 치명적인 기법이다.
다크트레이스 연구원들은 “이번 캠페인이 특정 산업을 가리지 않고 의료, 금융 등 모든 분야에 걸쳐 무차별적으로 전개되고 있다”고 경고했다.
따라서 사용자들은 현재 진행 중인 마두로 대통령 관련 뉴스를 확인하려 할 때 이메일 첨부 파일이 아닌 공식 언론사 사이트를 직접 방문해야 한다.
기업 보안팀은 엔드포인트에서 발생하는 예기치 않은 DLL 로드와 C&C 서버로의 비정상 비콘(Beaconing) 행위를 즉각 차단할 수 있는 모니터링 체계를 강화해야 한다.
이번 사례는 기술적 방어선이 구축되기도 전에 사건의 파급력을 이용해 침투하는 현대 사이버 범죄의 민첩함을 여실히 보여주는 증거다.
결국 한 번의 호기심으로 인한 클릭이 조직 전체의 네트워크를 해커에게 넘겨주는 악수가 될 수 있다는 것을 모든 구성원이 뼈저리게 인식해야 한다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=spacer}
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
