정체가 명확히 밝혀지지 않은 윈도 10 생태계의 악성 캠페인이 발견됐다. 공격자들은 크리덴셜과 암호화폐 관련 정보를 노린 것이 유력해 보인다. 가짜 브라우저 업데이트를 활용한 흔적도 나타났다. 그러나 최종 페이로드는 아직 보이지 않고 있다.
[보안뉴스 문가용 기자] 윈도 10을 겨냥한 사이버 범죄자들이 사용자 계정 컨트롤(User Account Control, UAC)이라는 방어 도구를 우회하여 새로운 멀웨어를 심는 것이 발견됐다. 보안 업체 라피드7(Rapid7)에 의하면 공격자들의 목적은 민감한 데이터를 빼돌리고 암호화폐를 채굴하는 것이라고 한다.
[이미지 = utoimage]
라피드7의 수석 분석가인 앤드류 이와마예(Andrew Iwamaye)에 의하면 이번에 새롭게 발견된 멀웨어는 윈도 환경 변수들과 네이티브 스케줄러를 악용함으로써 악성 기능을 주기적으로 발동시킬 수 있다고 한다. “그것도 상승된 권한을 가지고 악의적인 기능을 발휘합니다.” 이와마예는 자사 블로그를 통해 이 캠페인의 시작은 “피해자들이 크롬 브라우저를 활용해 악성 웹사이트에 접속하도록 유도하는 것에서부터 시작한다”고 밝혔다. 이 때 ‘브라우저 광고 서비스’가 사용된다고 하는데, 이것이 정확히 무엇인지는 공개되지 않고 있다.
이렇게 피해자들의 특정 행동을 유도한 뒤 공격자들이 사용하는 건 정보 탈취형 멀웨어다. 브라우저 크리덴셜과 암호화폐 관련 정보들을 빼내는 것이 주요 목적으로 보인다고 한다. 그 외에는 브라우저 업데이트 방지, 임의 명령 실행 공격을 위한 환경 조정 등의 악성 행위도 실행된다. 이와마예는 첫 번째 분석을 통해 공격자들이 활용하는 악성 도메인 중 하나가 birchlerarroyo.com이라는 것을 알아낼 수 있었다고 한다. “공격자들은 피해자들이 birchlerarroyo.com으로부터 알림을 받기 위해 권한을 재설정하도록 유도하는 것으로 보입니다.” 하지만 정확히 어떤 메시지로 피해자들을 유혹하는지는 아직 조사가 끝나지 않았다.
또 다른 공격 방식도 존재한다. 악성 크롬 브라우저 업데이트를 가장하는 것이다. MSIX 유형의 패키지 파일을 피해자에게 전달해 크롬 브라우저 업데이트를 하는 것처럼 속이는 것이다. 정확한 파일 이름은 oelgfertgokejrgre.msix이며, 이 파일은 chromesupdate.com에 호스팅 되어 있다. 윈도 애플리케이션 패키지 파일이지만 안에는 멀웨어가 들어 있다. 윈도 애플리케이션 패키지 파일로 페이로드가 위장되어 있다는 건 중요한 의미를 갖는다고 이와마예는 설명한다.
“윈도 애플리케이션 파일은 웹 기반 다운로드 공격에서 흔히 발견되는 요소가 아닙니다. 게다가 공격자들은 환경 변수와 정식 스케줄러를 활용하기도 하죠. 그렇기 때문에 다양한 보안 솔루션은 물론 경험 많은 관제 전문가들의 눈도 피해갈 가능성이 높아집니다.” 윈도 앱처럼 위장된 이 악성 페이로드는 마이크로소프트 공식 스토어로부터 다운로드 및 설치되는 것이 아니다. 그렇기 때문에 사이드로딩 된 애플리케이션의 설치를 허용해 달라는 팝업 창이 뜬다. 이를 허용하는 순간(피해자들은 크롬 업데이트인 줄로 생각하므로) 악성 페이로드는 컴퓨터를 감염시킨다.
첫 번째 단계에서의 공격에는 파워셸 명령어가 연루된다. 이 명령어는 HoxLuSfo.exe라는 실행파일로부터 소환되는 것이며, 이 HoxLuSfo.exe는 또 다른 실행파일인 sihost.exe의 실행 결과물이다. sihost.exe는 배경에서 진행되는 프로세스로 윈도 실행 및 알림 센터를 실행시키고 유지시키는 기능을 가지고 있다.
파워셸 명령어의 목적은 디스크 청소 유틸리티가 보안 장치인 UAC를 우회할 수 있도록 하는 것이다. 윈도 일부 버전에서 발견되는 ‘네이티브 스케줄러의 임의 명령 실행 취약점’ 덕분에 가능한 일이다. 스케줄러에 등록된 임의 명령을 통해 환경 변수를 변경하는 것 또한 가능한 일이 된다고 이와마예는 설명한다. “공격자들이 특히나 잘 노리는 건 %windir%라는 환경 변수입니다. 기존의 프로세스를 삭제하고 새로운 변수를 적용해 다시 실행하는 게 공격자들의 목적입니다.”
피싱 공격이든 가짜 크롬 업데이트든 연쇄적인 공격의 사슬을 통해 스케줄러에 공격자들의 악성 프로세스를 등록해 주기적으로 실행시키는 것까지는 이와마예와 라피드7이 잘 알아냈다. 하지만 그 후의 페이로드 샘플을 확보하는 데에는 실패했다. 이미 해당 캠페인은 종료된 상태였기 때문이다. “다만 바이러스토탈에서 나온 샘플을 가지고 분석을 제한적으로나마 진행할 수는 있었습니다.”
“결국 윈도 10에서 크롬 브라우저를 사용하는 사람들이 겨냥된 캠페인이 우리도 모르게 한 번 윈도 생태계를 훑고 지나갔다는 걸 알 수 있었습니다. 공격자들은 윈도 환경 변수와 스케줄러를 활용하고, 윈도 애플리케이션 패키지 유형의 파일을 사용해 각종 탐지 시스템을 우회해 갈 수 있었고요. 그리고 시스템에 멀웨어를 설치해 크리덴셜과 암호화폐 관련 정보를 빼낸 것으로 보입니다.”
샘플은 구하지 못했지만 이 캠페인이 어디선가 진행되고 있을지도 몰라 이와마예는 상세한 침해지표도 블로그를 통해 함께 발표했다. 침해지표를 포함해 이번 멀웨어 캠페인 분석 상세 보고서는 여기(https://www.rapid7.com/blog/post/2021/10/28/sneaking-through-windows-infostealer-malware-masquerades-as-windows-application/)서 열람이 가능하다.
3줄 요약
1. 윈도 10 크롬 브라우저 사용자들을 겨냥한 정보 탈취 캠페인이 적발됨.
2. 윈도 10 내부 요소들과 ‘윈도 애플리케이션 패키지’ 형태의 파일 사용해 탐지 피해 다님.
3. 최종 목적은 브라우저 크리덴셜과 암호화폐 관련 정보로 보임.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 윈도 10을 겨냥한 사이버 범죄자들이 사용자 계정 컨트롤(User Account Control, UAC)이라는 방어 도구를 우회하여 새로운 멀웨어를 심는 것이 발견됐다. 보안 업체 라피드7(Rapid7)에 의하면 공격자들의 목적은 민감한 데이터를 빼돌리고 암호화폐를 채굴하는 것이라고 한다.
[이미지 = utoimage]
라피드7의 수석 분석가인 앤드류 이와마예(Andrew Iwamaye)에 의하면 이번에 새롭게 발견된 멀웨어는 윈도 환경 변수들과 네이티브 스케줄러를 악용함으로써 악성 기능을 주기적으로 발동시킬 수 있다고 한다. “그것도 상승된 권한을 가지고 악의적인 기능을 발휘합니다.” 이와마예는 자사 블로그를 통해 이 캠페인의 시작은 “피해자들이 크롬 브라우저를 활용해 악성 웹사이트에 접속하도록 유도하는 것에서부터 시작한다”고 밝혔다. 이 때 ‘브라우저 광고 서비스’가 사용된다고 하는데, 이것이 정확히 무엇인지는 공개되지 않고 있다.
이렇게 피해자들의 특정 행동을 유도한 뒤 공격자들이 사용하는 건 정보 탈취형 멀웨어다. 브라우저 크리덴셜과 암호화폐 관련 정보들을 빼내는 것이 주요 목적으로 보인다고 한다. 그 외에는 브라우저 업데이트 방지, 임의 명령 실행 공격을 위한 환경 조정 등의 악성 행위도 실행된다. 이와마예는 첫 번째 분석을 통해 공격자들이 활용하는 악성 도메인 중 하나가 birchlerarroyo.com이라는 것을 알아낼 수 있었다고 한다. “공격자들은 피해자들이 birchlerarroyo.com으로부터 알림을 받기 위해 권한을 재설정하도록 유도하는 것으로 보입니다.” 하지만 정확히 어떤 메시지로 피해자들을 유혹하는지는 아직 조사가 끝나지 않았다.
또 다른 공격 방식도 존재한다. 악성 크롬 브라우저 업데이트를 가장하는 것이다. MSIX 유형의 패키지 파일을 피해자에게 전달해 크롬 브라우저 업데이트를 하는 것처럼 속이는 것이다. 정확한 파일 이름은 oelgfertgokejrgre.msix이며, 이 파일은 chromesupdate.com에 호스팅 되어 있다. 윈도 애플리케이션 패키지 파일이지만 안에는 멀웨어가 들어 있다. 윈도 애플리케이션 패키지 파일로 페이로드가 위장되어 있다는 건 중요한 의미를 갖는다고 이와마예는 설명한다.
“윈도 애플리케이션 파일은 웹 기반 다운로드 공격에서 흔히 발견되는 요소가 아닙니다. 게다가 공격자들은 환경 변수와 정식 스케줄러를 활용하기도 하죠. 그렇기 때문에 다양한 보안 솔루션은 물론 경험 많은 관제 전문가들의 눈도 피해갈 가능성이 높아집니다.” 윈도 앱처럼 위장된 이 악성 페이로드는 마이크로소프트 공식 스토어로부터 다운로드 및 설치되는 것이 아니다. 그렇기 때문에 사이드로딩 된 애플리케이션의 설치를 허용해 달라는 팝업 창이 뜬다. 이를 허용하는 순간(피해자들은 크롬 업데이트인 줄로 생각하므로) 악성 페이로드는 컴퓨터를 감염시킨다.
첫 번째 단계에서의 공격에는 파워셸 명령어가 연루된다. 이 명령어는 HoxLuSfo.exe라는 실행파일로부터 소환되는 것이며, 이 HoxLuSfo.exe는 또 다른 실행파일인 sihost.exe의 실행 결과물이다. sihost.exe는 배경에서 진행되는 프로세스로 윈도 실행 및 알림 센터를 실행시키고 유지시키는 기능을 가지고 있다.
파워셸 명령어의 목적은 디스크 청소 유틸리티가 보안 장치인 UAC를 우회할 수 있도록 하는 것이다. 윈도 일부 버전에서 발견되는 ‘네이티브 스케줄러의 임의 명령 실행 취약점’ 덕분에 가능한 일이다. 스케줄러에 등록된 임의 명령을 통해 환경 변수를 변경하는 것 또한 가능한 일이 된다고 이와마예는 설명한다. “공격자들이 특히나 잘 노리는 건 %windir%라는 환경 변수입니다. 기존의 프로세스를 삭제하고 새로운 변수를 적용해 다시 실행하는 게 공격자들의 목적입니다.”
피싱 공격이든 가짜 크롬 업데이트든 연쇄적인 공격의 사슬을 통해 스케줄러에 공격자들의 악성 프로세스를 등록해 주기적으로 실행시키는 것까지는 이와마예와 라피드7이 잘 알아냈다. 하지만 그 후의 페이로드 샘플을 확보하는 데에는 실패했다. 이미 해당 캠페인은 종료된 상태였기 때문이다. “다만 바이러스토탈에서 나온 샘플을 가지고 분석을 제한적으로나마 진행할 수는 있었습니다.”
“결국 윈도 10에서 크롬 브라우저를 사용하는 사람들이 겨냥된 캠페인이 우리도 모르게 한 번 윈도 생태계를 훑고 지나갔다는 걸 알 수 있었습니다. 공격자들은 윈도 환경 변수와 스케줄러를 활용하고, 윈도 애플리케이션 패키지 유형의 파일을 사용해 각종 탐지 시스템을 우회해 갈 수 있었고요. 그리고 시스템에 멀웨어를 설치해 크리덴셜과 암호화폐 관련 정보를 빼낸 것으로 보입니다.”
샘플은 구하지 못했지만 이 캠페인이 어디선가 진행되고 있을지도 몰라 이와마예는 상세한 침해지표도 블로그를 통해 함께 발표했다. 침해지표를 포함해 이번 멀웨어 캠페인 분석 상세 보고서는 여기(https://www.rapid7.com/blog/post/2021/10/28/sneaking-through-windows-infostealer-malware-masquerades-as-windows-application/)서 열람이 가능하다.
3줄 요약
1. 윈도 10 크롬 브라우저 사용자들을 겨냥한 정보 탈취 캠페인이 적발됨.
2. 윈도 10 내부 요소들과 ‘윈도 애플리케이션 패키지’ 형태의 파일 사용해 탐지 피해 다님.
3. 최종 목적은 브라우저 크리덴셜과 암호화폐 관련 정보로 보임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
