감염 후 트위터 통해 명령 전송, 명령은 그림파일에 숨겨
 
[보안뉴스 문가용] 최근 러시아의 사이버 스파이 조직이 트위터나 깃허브, 클라우드 저장소 등 합법적인 웹 공간을 활용하여 정보를 빼돌리며 교묘한 위장술을 펼치고 있는 것이 발견됐다. 이를 발견한 건 파이어아이(FireEye)의 연구원들로 러시아 스파이 조직인 APT29가 사용하는 최첨단 멀웨어 해머토스(Hammertoss)에 대한 대략적인 분석결과를 오늘 발표했다.

“공격자들은 자동으로 트위터 핸들을 매일 순환시킵니다. 감염시킨 기기들로 명령을 보내기 위해서입니다. 매일 트위터 핸들을 새롭게 바꿔가며 C&C처럼 사용한다는 것이죠. 그리고 임베드 된 이미지에 암호화된 명령 정보를 삽입시켜서 훔친 정보를 클라우드 저장소 서비스에 업로드 하는 등의 활동을 합니다. 합법적으로 웹 서버를 동원해 C&C 서버처럼 활용하기도 합니다.” 파이어아이의 위협 첩보 분석가인 조단 베리(Jordan Berry)의 설명이다.

“굉장히 탐지가 어려운 멀웨어 툴입니다. 멀웨어가 지금까지 진화해오면서 ‘좋았던 기능’ 혹은 ‘강력했던 기능’을 전부 활용하고 있습니다. 사실 트위터를 C&C처럼 활용하는 멀웨어가 처음 등장한 것도 아니죠. 그림파일에 암호화된 정보를 감추는 것도 처음 보는 게 아니고요. 다만 이 둘을 이렇게 합칠 줄은 몰랐습니다. APT29의 뛰어난 능력이 또 발휘된 것이라고 볼 수 있습니다. 그리고 방어하는 저희에겐 생각해야 할 고려사항이 하나 더 생긴 거라고 볼 수 있고요.”

파이어아이에 의하면 APT29는 최근 시만텍이 발견한 시듀크(Seaduke) 멀웨어를 사용한 바로 그 해커들이다. 정황상 동유럽 국가 정부기관들을 주로 공격하는 미니듀크(MiniDuke)와도 동일한 단체일 가능성이 높긴 하지만 확신할 수는 없는 단계다. 미니듀크가 사용하는 멀웨어인 미니듀크 역시 트위터를 C&C 채널로 활용하며 이미지 파일에 암호화된 정보를 담는 기능을 가지고 있긴 하지만 그 두 기능이 완전히 참신하고 혁신적인 방법이 아닌지라 100% 확신을 가지긴 어렵다고.

해머토스 백도어 멀웨어는 위에서 잠깐 언급했다시피 매일 다른 트위터 핸들을 사용한다. 물론 해머토스가 생성한 목록에 따라 자동으로 검색하고 발견하는 것으로 이를 통해 해커들로부터 명령을 받아들인다. 만약 찾아야 하는 핸들이 존재하지 않거나 없어졌다면 그 하루는 그냥 넘기고 다음날 그날에 해당된 트위터 핸들을 기반으로 활동을 시작한다. 찾고자 하는 계정이 활성화되어 있다면 해머토스 멀웨어는 URL과 해쉬태그가 포함된 트윗을 찾아 거기에 써있는 URL로 이동한다.

그 URL에는 합법적인 것처럼 보이는 이미지들이 있다. 해머토스는 이 이미지들을 여는데, 이 이미지들에는 암호화된 명령들이 포함되어 있다. 해머토스는 이를 복호화하고, 여러 가지 명령들을 읽어들인다. 보통은 어떤 파일을 훔쳐내어 어떤 주소로 전송하라는 명령이다. 보통은 합법적인 클라우드 서비스를 가리킬 때가 많다.

“트위터, 합법적인 사이트, 그리고 합법적인 클라우드 서비스... 트래픽만 봐서는 전혀 이상할 게 없습니다”라고 파이어아이의 위협 첩보 책임자인 로라 갈란트(Laura Galante)가 설명한다. “이런 공작에 사용되는 이미지가 어디 있는 줄 아세요? 저희는 깃허브에서도 찾았습니다. 복호화 시키고 보니 멀웨어더군요. 피해자의 시스템에서 정보를 모아 어떤 클라우드 서비스로 업로드시키라는 내용의 명령이 들어 있는 멀웨어였습니다. 깃허브라면 굉장히 활발한 커뮤니티잖아요. 누가 깃허브에서 온 이미지를 악성이라고 판단하겠습니까.”

파이어아이는 아직 해머토스로 인한 감염이 최초에 어떻게 발생하는 지까지는 밝히지 못하고 있다. 하지만 피싱 공격을 강력하게 의심하고 있다. 최초의 감염 경로를 파악하는 건 미래에 일어날 공격을 예방하는 데에 큰 도움이 된다. 하지만 파이어아이는 해머토스의 경우 꼭 그렇지 않을 수도 있다고 한다.

“APT29는 적어도 2014년부터 활동을 시작한 해킹 단체로 주로 외교 정책, 국방, 교육과 관련이 있는 타국 정부 기관들을 노립니다. 특히 러시아-우크라이나 사태와 관련이 있는 정보들을 주로 수집하는 것으로 알려져 있죠. 즉, 우리를 지켜보는 걸 전문으로 하고 있다는 겁니다. 또한 최근 보안전문 업체들이 몇몇 해킹당한 일이 있었죠. 즉 APT29와 같은 전문 스파이 단체들은 보안업체들까지도 지켜보고 있다는 겁니다. 우리의 능력을 잘 알고 있는 거죠. 그래서 앞으로는 그에 대한 맞춤형 공격을 실시할 것으로 보입니다.”

합법적인 트래픽을 타고 정보를 빼돌리는 멀웨어. 탐지도 어렵고 방지도 어렵고 그에 대한 방어 대책을 세우는 것도 어려워 보이는 가운데 다음 공격의 표적은 누가 될 것인가? 또 해머토스를 사용할 것인가? 업계는 궁금해 하고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>