북한 관련 사이트...인터넷 익스플로러...한반도 표준시...알듯 말 듯한 공격자
[보안뉴스 문가용 기자] 슬럽(SLUB)이라는 백도어를 운영하는 사이버 공격자들이 최근 패치된 인터넷 익스플로러의 취약점을 남용하기 시작했다고 보안 업체 트렌드 마이크로(Trend Micro)가 긴급하게 알려왔다.
[이미지 = iclickart]
공격자들이 슬럽을 배포하기 위해 예전부터 즐겨 사용해왔던 취약점은 VB스크립트 엔진에서 발견된 CVE-2018-8174이다. 이 취약점을 통해 슬럽을 퍼트리는 건 여전히 유효한 방법이다. 다만 여기에 CVE-2019-0752라는 인터넷 익스플로러 취약점을 활용하는 방법이 추가된 것이다. 이 취약점은 지난 4월에 패치됐다.
“또 하나 특이한 건, 우연의 일치인지 의도된 것인지 모르겠지만, 현재까지 슬럽 멀웨어를 배포하는 데 남용되었던 웹 사이트들이 전부 북한 내부 사정이나 북한 수뇌부와 관련된 내용이 소개되는 곳이라는 겁니다. 즉 북한에 관심이 있는 사람들을 노렸을 가능성이 높습니다.” 트렌드 마이크로의 설명이다.
슬럽이 처음 세상에 공개된 건 지난 3월의 일이다. 당시 깃허브(GitHub)와 슬랙(Slack)이라는 유명 커뮤니티 및 소셜 플랫폼을 C&C로서 활용한다는 점 때문에 보안 업계의 관심을 받았었다. 지금은 공격자들이 전략을 바꿨고, 깃허브를 C&C로 활용하는 부분은 사라졌다. “현재 슬럽의 C&C는 슬랙뿐입니다.”
트렌드 마이크로는 이러한 현상을 슬랙 측에 알렸고, 슬랙은 공격자들의 남용을 근절하기 위한 조치를 취한 상태라고 한다. 실제 슬럽이 퍼지는 공격은 소강상태에 들어간 것으로 보인다.
슬럽은 여러 단계를 거쳐 감염을 실시한다.
1) 워터링 홀 공격을 위한 웹사이트들에 로더, 익스플로잇, 슬럽 등 공격 도구들을 전부 호스팅 한다. 이 웹사이트들은 전부 북한과 관련된 내용을 담고 있다.
2) 워터링 홀 웹사이트들은 CVE-2018-8174와 CVE-2019-0752를 통해 침해를 받은 것으로 보인다.
3) 피해자가 워터링 홀 웹사이트에 접속한다. 이 때 패치가 되지 않은 인터넷 익스플로러를 사용할 경우 익스플로잇이 발동(악성 파워셸 스크립트와 Rundll32)되며 로더가 피해자의 시스템으로 전달된다.
4) 로더는 피해 시스템의 아키텍처(x86 혹은 x64)에 따라 CVE-2019-0808이나 CVE-2019-0803 취약점을 익스플로잇 해 권한을 상승시킨다.
5) 피해 시스템의 아키텍처에 따라 다운로드 할 SLUB 버전을 선택하고 최종 슬럽 페이로드를 설치한다.
감염에 성공하면 슬럽은 슬랙을 통해 공격자와 연결된다. 연결과 함께 <사용자 이름>-
멀웨어 바이너리 내에는 두 개의 하드코딩 된 슬랙 바이너리들도 포함되어 있다. 슬랙 API를 통해 메타데이터를 요청하는 내용이 담긴 바이너리다. 메타데이터란, 1) 팀 정보, 2) 사용자 목록, 3) 채널 목록 등을 말한다. 문제의 슬랙 계정(혹은 워크스페이스라고 부른다)은 아무리 못해도 올해 5월부터 활성화 되어 있었던 것으로 보인다. 여기서 보이는 공격자들의 활동 시간은 한반도의 업무 시간과 겹친다. 공격자들이 한국이나 북한에서 활동하고 있을 가능성이 높다는 뜻이다.
슬럽이 슬랙의 채널과 연결이 되었다면, 공격자들은 슬랙 채널을 통해 각종 명령을 전달한다. “스크린샷을 남기라거나, 특정 파일을 빼돌리라는 등의 명령이 포함되어 있습니다.” 트렌드 마이크로는 “유명 커뮤니티 서비스를 C&C로 사용한다는 건, 공격자들이 대단히 창의적이고 전문적이며 집요하다는 걸 보여준다”고 말한다. “이런 서비스들을 사용해 악성 행위를 할 경우, 탐지가 쉽지 않은데요, 그런 현대 디지털 환경을 공격자들이 잘 이해하고 있는 겁니다.”
슬럽 멀웨어는 널리 퍼지지 않고 있다. 소수의 일부만 감염됐기 때문에 보안 업계조차 슬럽의 현재 상황에 대해 잘 모르고 있다. 트렌드 마이크로는 “표적 공격에 슬럽이 사용되고 있을 가능성을 시사한다”고 설명한다. “소수의 특별한 누군가만을 노리는 공격을 슬럽 공격자들이 하고 있는 것으로 보입니다.”
3줄 요약
1. 슬랙과 깃허브를 C&C로 활용하는 독특한 멀웨어 슬럽. 종류는 백도어.
2. 북한 관련 사이트에 공격 도구 호스팅 하고, 한국에서 많이 사용하는 인터넷 익스플로러의 취약점 익스플로잇 함.
3. 해커들의 활동 시간도 한반도 표준 시간과 겹침. 피해자 많지 않아 표적 공격 의심됨.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>