유명 클라우드 서비스에 RAT 3가지가 숨어들었다. 그리고 클라우드의 강점을 활용해 계속해서 피해자를 양산하고 있다. 멀웨어와 클라우드, 피싱 이메일과 집요한 난독화 등 종합 선물 세트의 면모를 보이고 있는 캠페인이 10월부터 진행되고 있다.
[보안뉴스 문가용 기자] 유명 ‘원격 접근 트로이목마(RAT)’ 세 가지를 한꺼번에 활용한 대형 정보 탈취 캠페인이 적발됐다. 이 캠페인이 독특한 건, 나노코어(Nanocore), 넷와이어(Netwire), 에이싱크랫(AsyncRAT)과 같은 악명 높은 RAT들이 한꺼번에 사용되었기 때문이기도 하지만 유명 클라우드 서비스들이 활용되었기 때문이기도 하다.
[이미지 = utoimage]
문제의 캠페인은 지난 10월에 처음 발견됐다. 발견자는 시스코의 탈로스 팀으로 “발견 당시 공격자들은 마이크로소프트 애저와 아마존 AWS를 활용해 악성 페이로드를 유포하고 있었다”고 설명한다. “애저와 AWS와 같은 클라우드 서비스는 ‘인프라 생성’이 매우 편리하다는 특성을 가지고 있습니다. 그렇기에 시간과 돈을 크게 아낄 수 있고, 이는 공격 효율을 높일 수 있다는 뜻이 됩니다. 게다가 보안 분석가들의 추적을 어렵게 만들 수도 있습니다.”
현재 이 캠페인의 주요 피해자들은 미국, 이탈리아, 싱가포르에 집중되어 있는 것으로 나타났다. 공격자들은 세 가지 RAT을 사용해 피해자의 시스템에 침투한 후 원격에서 명령을 실행하거나 민감한 정보를 빼돌린다고 한다.
공격은 다음과 같은 순서로 진행되는 것으로 분석됐다.
1) 악성 ZIP 파일이 첨부된 이메일이 피해자에게로 전송된다.
2) 이 ZIP 파일을 풀면 ISO 이미지가 나타난다.
3) 이 ISO 이미지 안에는 자바스크립트, 비주얼베이직, 윈도 배치 파일로 구성된 로더가 저장되어 있다.
4) 이 악성 파일들이 실행되면 클라우드 서비스에서 RAT 페이로드가 다운로드 된다.
3)에서 4)로 넘어가기 전, 다운로더들은 4단계의 난독화 해제 작업을 진행한다. 즉 공격자가 공격의 탐지와 추적을 피하기 위해 엄청난 노력을 기울였다는 뜻이 된다. 4단계의 난독화 해제 혹은 복호화 작업을 끝나고 나면 애저 기반 혹은 AWS 기반 다운로드 서버에서 악성 페이로드가 피해자의 시스템으로 전달된다. 공격자들은 무료 다이내믹 DNS 서비스인 덕DNS(DuckDNS)를 활용해 다량의 악성 서브도메인을 미리 등록시키기도 했다.
탈로스의 닉 비아시니(Nick Biasini)는 “현대의 기업들이 직면한 위험 요소들의 종합판”이라고 이 캠페인에 대해 설명한다. “악성 이메일, 악성 첨부파일, 다단계 난독화, 원격 접근 권한을 주는 RAT 멀웨어, 클라우드의 악의적인 활용까지, 모든 게 여기에 다 들어있습니다. 이런 요소들로 구성된 사이버 공격은 앞으로 지속적으로 우리 앞에 나타나 많은 기업들을 곤란한 상황으로 밀어 넣을 것입니다.”
세 가지 RAT의 경우, 다크웹에서 상용화 된 것으로 다른 공격 단체들도 적극적으로 활용한다. 나노코어는 2013년에 처음 발견된 정보 탈취 멀웨어이며, 넷와이어는 비밀번호와 로그인 크리덴셜, 신용카드 정보를 훔치는 데 특화된 RAT이다. 또한 원격에서 운영자의 명령을 실행할 수도 있다. 에이싱크랫은 원격에서 피해자를 모니터링하고 표적이 된 장비를 제어하도록 해 준다. 이번 캠페인에서 공격자들은 에이싱크랫을 통해 원격 접근을 실시하고, 나머지 두 RAT을 활용해 필요한 정보를 훔치는 것으로 분석됐다.
비아시니는 “피해자는 한 개의 페이로드에 감염되는 게 보통”이라고 설명하며 “이렇게 RAT가 다수 활용되는 사례는 드물다”고 말한다. “그렇지만 이런 식으로 다량의 RAT가 한꺼번에 사용되는 전략이 완전히 새로운 것이라고 말할 수는 없습니다. 다만 공격자들이 각종 멀웨어를 보다 능숙하게 다루고 있다는 걸 우리는 알 수 있습니다.”
공격자들이 능숙해지는 건 멀웨어만이 아니다. 공공 클라우드 인프라에 대한 이해도도 점점 높아지고 있다고 비아시니는 짚는다. “공격자들은 자신들이 원하는 바를 이루기 위해 필요한 모든 것을 이용합니다. 애저나 AWS처럼 유명하고, 누구에게나 열려 있는 서비스라면 더더욱 연구를 용이하게 진행했겠죠. 공격자들은 이제 클라우드의 장점을 자신들의 도구로 활용할 줄 알게 되었고, 앞으로 클라우드를 통한 공격은 더 거세게 이어질 전망입니다.”
그러면서 비아시니는 “최근 랜섬웨어 공격자들이 큰 돈을 벌기 시작한 것처럼 공격 인프라 제작과 대여에 능숙해진 상인들도 등장해 적잖은 돈을 벌고 있다”고 설명한다. “해커들이라고 해서 누구나 피해자의 네트워크와 시스템에 깊숙하게 들어가 직접 피해를 끼치고 싶어하는 건 아닙니다. 숨겨진 입구를 찾아내는 데에서 만족하기도 하지요. 그런 유형의 해커들은 자신들이 찾아낸 입구와 경로를 다른 공격자들에게 판매함으로써 손에 직접 피를 묻히지 않습니다. 하지만 이런 자들은 사이버 범죄를 보편화시키고 활성화시키는 매개체로서의 역할을 톡톡히 담당하고 있습니다.”
시스코 탈로스 팀은 “클라우드 서비스에서 나오고 클라우드 서비스로 가는 모든 트래픽을 모니터링해 악성과 정상을 분류할 수 있게 된다면 클라우드를 통한 사이버 공격을 방지할 수 있을 것”이라고 말한다. 또한 스크립트 실행과 관련된 보안 정책을 마련해 전 조직적으로 전파 및 적용하는 것도 중요하다고 강조했다.
3줄 요약
1. 지난 10월부터 진행된 대규모 정보 탈취 캠페인, RAT을 3개나 활용.
2. 심지어 AWS와 애저라는 대규모 클라우드 서비스를 공격 인프라로 활용.
3. 클라우드를 공격 인프라로 활용하는 캠페인은 앞으로도 계속 등장할 것.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 유명 ‘원격 접근 트로이목마(RAT)’ 세 가지를 한꺼번에 활용한 대형 정보 탈취 캠페인이 적발됐다. 이 캠페인이 독특한 건, 나노코어(Nanocore), 넷와이어(Netwire), 에이싱크랫(AsyncRAT)과 같은 악명 높은 RAT들이 한꺼번에 사용되었기 때문이기도 하지만 유명 클라우드 서비스들이 활용되었기 때문이기도 하다.
[이미지 = utoimage]
문제의 캠페인은 지난 10월에 처음 발견됐다. 발견자는 시스코의 탈로스 팀으로 “발견 당시 공격자들은 마이크로소프트 애저와 아마존 AWS를 활용해 악성 페이로드를 유포하고 있었다”고 설명한다. “애저와 AWS와 같은 클라우드 서비스는 ‘인프라 생성’이 매우 편리하다는 특성을 가지고 있습니다. 그렇기에 시간과 돈을 크게 아낄 수 있고, 이는 공격 효율을 높일 수 있다는 뜻이 됩니다. 게다가 보안 분석가들의 추적을 어렵게 만들 수도 있습니다.”
현재 이 캠페인의 주요 피해자들은 미국, 이탈리아, 싱가포르에 집중되어 있는 것으로 나타났다. 공격자들은 세 가지 RAT을 사용해 피해자의 시스템에 침투한 후 원격에서 명령을 실행하거나 민감한 정보를 빼돌린다고 한다.
공격은 다음과 같은 순서로 진행되는 것으로 분석됐다.
1) 악성 ZIP 파일이 첨부된 이메일이 피해자에게로 전송된다.
2) 이 ZIP 파일을 풀면 ISO 이미지가 나타난다.
3) 이 ISO 이미지 안에는 자바스크립트, 비주얼베이직, 윈도 배치 파일로 구성된 로더가 저장되어 있다.
4) 이 악성 파일들이 실행되면 클라우드 서비스에서 RAT 페이로드가 다운로드 된다.
3)에서 4)로 넘어가기 전, 다운로더들은 4단계의 난독화 해제 작업을 진행한다. 즉 공격자가 공격의 탐지와 추적을 피하기 위해 엄청난 노력을 기울였다는 뜻이 된다. 4단계의 난독화 해제 혹은 복호화 작업을 끝나고 나면 애저 기반 혹은 AWS 기반 다운로드 서버에서 악성 페이로드가 피해자의 시스템으로 전달된다. 공격자들은 무료 다이내믹 DNS 서비스인 덕DNS(DuckDNS)를 활용해 다량의 악성 서브도메인을 미리 등록시키기도 했다.
탈로스의 닉 비아시니(Nick Biasini)는 “현대의 기업들이 직면한 위험 요소들의 종합판”이라고 이 캠페인에 대해 설명한다. “악성 이메일, 악성 첨부파일, 다단계 난독화, 원격 접근 권한을 주는 RAT 멀웨어, 클라우드의 악의적인 활용까지, 모든 게 여기에 다 들어있습니다. 이런 요소들로 구성된 사이버 공격은 앞으로 지속적으로 우리 앞에 나타나 많은 기업들을 곤란한 상황으로 밀어 넣을 것입니다.”
세 가지 RAT의 경우, 다크웹에서 상용화 된 것으로 다른 공격 단체들도 적극적으로 활용한다. 나노코어는 2013년에 처음 발견된 정보 탈취 멀웨어이며, 넷와이어는 비밀번호와 로그인 크리덴셜, 신용카드 정보를 훔치는 데 특화된 RAT이다. 또한 원격에서 운영자의 명령을 실행할 수도 있다. 에이싱크랫은 원격에서 피해자를 모니터링하고 표적이 된 장비를 제어하도록 해 준다. 이번 캠페인에서 공격자들은 에이싱크랫을 통해 원격 접근을 실시하고, 나머지 두 RAT을 활용해 필요한 정보를 훔치는 것으로 분석됐다.
비아시니는 “피해자는 한 개의 페이로드에 감염되는 게 보통”이라고 설명하며 “이렇게 RAT가 다수 활용되는 사례는 드물다”고 말한다. “그렇지만 이런 식으로 다량의 RAT가 한꺼번에 사용되는 전략이 완전히 새로운 것이라고 말할 수는 없습니다. 다만 공격자들이 각종 멀웨어를 보다 능숙하게 다루고 있다는 걸 우리는 알 수 있습니다.”
공격자들이 능숙해지는 건 멀웨어만이 아니다. 공공 클라우드 인프라에 대한 이해도도 점점 높아지고 있다고 비아시니는 짚는다. “공격자들은 자신들이 원하는 바를 이루기 위해 필요한 모든 것을 이용합니다. 애저나 AWS처럼 유명하고, 누구에게나 열려 있는 서비스라면 더더욱 연구를 용이하게 진행했겠죠. 공격자들은 이제 클라우드의 장점을 자신들의 도구로 활용할 줄 알게 되었고, 앞으로 클라우드를 통한 공격은 더 거세게 이어질 전망입니다.”
그러면서 비아시니는 “최근 랜섬웨어 공격자들이 큰 돈을 벌기 시작한 것처럼 공격 인프라 제작과 대여에 능숙해진 상인들도 등장해 적잖은 돈을 벌고 있다”고 설명한다. “해커들이라고 해서 누구나 피해자의 네트워크와 시스템에 깊숙하게 들어가 직접 피해를 끼치고 싶어하는 건 아닙니다. 숨겨진 입구를 찾아내는 데에서 만족하기도 하지요. 그런 유형의 해커들은 자신들이 찾아낸 입구와 경로를 다른 공격자들에게 판매함으로써 손에 직접 피를 묻히지 않습니다. 하지만 이런 자들은 사이버 범죄를 보편화시키고 활성화시키는 매개체로서의 역할을 톡톡히 담당하고 있습니다.”
시스코 탈로스 팀은 “클라우드 서비스에서 나오고 클라우드 서비스로 가는 모든 트래픽을 모니터링해 악성과 정상을 분류할 수 있게 된다면 클라우드를 통한 사이버 공격을 방지할 수 있을 것”이라고 말한다. 또한 스크립트 실행과 관련된 보안 정책을 마련해 전 조직적으로 전파 및 적용하는 것도 중요하다고 강조했다.
3줄 요약
1. 지난 10월부터 진행된 대규모 정보 탈취 캠페인, RAT을 3개나 활용.
2. 심지어 AWS와 애저라는 대규모 클라우드 서비스를 공격 인프라로 활용.
3. 클라우드를 공격 인프라로 활용하는 캠페인은 앞으로도 계속 등장할 것.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
