새로운 멀웨어가 구글 광고 플랫폼을 통해 퍼지고 있다. 롭샷이라는 멀웨어로, 악명 높은 러시아의 해킹 단체인 TA505가 배후에 있는 것으로 보인다. 구글 애즈가 요즘 공격자들 사이에서 ‘핫’하다.
[보안뉴스 문정후 기자] 새로운 백도어가 발견됐다. IT 업체 엘라스틱소프트웨어(Elastic Software)에 의하면 이 멀웨어의 이름은 롭샷(LOBSHOT)이라고 하며, 주로 악성 구글 광고를 통해 유포되는 중이라고 한다. “공격자들은 애니데스크(AnyDesk) 등 원격 근무 체제에서 즐겨 사용되는 애플리케이션들의 광고인 것처럼 자신들의 광고를 만들어 피해자들을 유혹했습니다.”
[이미지 = utoimage]
광고를 클릭할 경우 피해자들은 재택 근무자들을 위한 소프트웨어가 호스팅 되어 있는 것처럼 꾸며진 사이트로 접속되며, 여기서 설치파일로 보이는 것을 다운로드 받게 된다. “그러나 그 설치파일은 공격자들을 위한 백도어인 롭샷이죠. 보다 정확히 말하면 실제 설치파일에 롭샷 백도어가 삽입된 것입니다.” 엘라스틱소프트웨어의 분석가 다니엘 스테파닉(Daniel Stepanic)의 설명이다.
게다가 롭샷의 배후에는 악명 높은 공격 단체인 TA505가 있는 것으로 추정되고 있다. TA505는 클롭(Clop) 랜섬웨어를 퍼트린 것으로 잘 알려진 단체다. 이번 공격에 사용된 웹사이트 중 하나는 download-cdn.com으로, 이전부터 TA505와 관련이 깊은 사이트다. 드리덱스(Dridex), 록키(Locky), 네커스(Necurs) 등의 멀웨어도 여기서 유포된 전적을 가지고 있다. 이 때문에 엘라스틱소프트웨어는 롭샷이 TA505의 새로운 멀웨어인 것으로 추정하고 있다.
구글 광고의 악용
지난 1월에도 라다만티스 스틸러(Rhadamanthys Stealer)라는 멀웨어가 구글 광고 플랫폼을 통해 유포된 적이 있다. 이 때도 공격자들은 애니데스크와 줌을 다운로드 받을 수 있다는 식으로 광고를 올려 피해자들을 현혹시켰다. 그 외에도 구글 애즈 플랫폼을 악용하는 멀버타이징 캠페인이 크게 증가했고, 지금도 그 흐름이 이어지고 있다는 게 엘라스틱소프트웨어의 설명이다.
“현재 보안 커뮤니티 곳곳에서 구글 광고 플랫폼을 통해 행해지는 여러 공격 사례가 보고되고 있는데, 그 방법들이 대동소이합니다.” 스테파닉의 설명이다. “정상 소프트웨어를 정상 광고 플랫폼에서 광고한다는 그 간단한 사실이 피해자들을 효과적으로 속이는 듯합니다. 공격자들이 큰 전략 수정 없이 이 공격을 계속해서 진행하는 것만 봐도 알 수 있죠.”
롭샷에 감염되기까지
공격 시나리오는 다음과 같다.
1) 피해자가 인터넷 검색으로 정상 소프트웨어를 찾는다.
2) 그러면 해당 소프트웨어를 다운로드 받을 수 있는 광고가 뜬다.
3) 클릭하면 공격자들이 미리 만들어 둔 사이트로 연결된다.
4) 예를 들어 실제 애니데스크 URL은 www.anydesk.com인데, 가짜 URL은 amydecke.com이다.
5) 설치파일이 다운로드 된다. 하지만 이 파일 안에는 악성 페이로드가 숨겨져 있어 같이 설치된다.
“저희가 발견한 악성 페이지들은 전부 진짜와 똑같이 생기거나, 정말 소프트웨어 개발사의 홈페이지처럼 생겼습니다. 모든 것이 완벽하리만큼 진짜의 분위기를 풍깁니다.” 그렇기 때문에 다운로드 된 파일에 대하여 사용자들은 의심하지 못하게 된다. 그러나 배경에서는 파워셸이 실행되고, 이를 통해 롭샷이 다운로드 된다. 침투에 성공한 롭샷은 공격자들의 C&C와 연결된다.
어떻게 막을까
롭샷의 중요한 특징 중 하나는 hVNC라는 요소를 가지고 있다는 것이다. hVNC는 ‘숨겨진 가상 네트워크 컴퓨팅(hidden Virtual Network Computing)’의 준말로, 일종의 모듈이며, 특정 기계에 직접적으로, 그러나 눈에 띄지 않게 접근할 수 있도록 해 준다. 공격자들은 이 hVNC를 탐지 회피를 목적으로 주로 활용한다. “요즘 들어 많은 멀웨어들의 모듈과 추가 플러그인에 hVNC가 탑재되고 있습니다. 그 만큼 성능과 효과가 좋다는 뜻입니다.”
엘라스틱소프트웨어 깃허브에 롭샷 감염에 대비한 방어 전략을 여러 개 올려두어 피해를 줄이고자 하고 있다. 방어에 참고할 만한 페이지 주소는 다음과 같다.
1) https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense_evasion_suspicious_windows_explorer_execution.toml
2) https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense_evasion_suspicious_parent_child_relationship.toml
3) https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows_Trojan_Lobshot.yar
글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 새로운 백도어가 발견됐다. IT 업체 엘라스틱소프트웨어(Elastic Software)에 의하면 이 멀웨어의 이름은 롭샷(LOBSHOT)이라고 하며, 주로 악성 구글 광고를 통해 유포되는 중이라고 한다. “공격자들은 애니데스크(AnyDesk) 등 원격 근무 체제에서 즐겨 사용되는 애플리케이션들의 광고인 것처럼 자신들의 광고를 만들어 피해자들을 유혹했습니다.”
[이미지 = utoimage]
광고를 클릭할 경우 피해자들은 재택 근무자들을 위한 소프트웨어가 호스팅 되어 있는 것처럼 꾸며진 사이트로 접속되며, 여기서 설치파일로 보이는 것을 다운로드 받게 된다. “그러나 그 설치파일은 공격자들을 위한 백도어인 롭샷이죠. 보다 정확히 말하면 실제 설치파일에 롭샷 백도어가 삽입된 것입니다.” 엘라스틱소프트웨어의 분석가 다니엘 스테파닉(Daniel Stepanic)의 설명이다.
게다가 롭샷의 배후에는 악명 높은 공격 단체인 TA505가 있는 것으로 추정되고 있다. TA505는 클롭(Clop) 랜섬웨어를 퍼트린 것으로 잘 알려진 단체다. 이번 공격에 사용된 웹사이트 중 하나는 download-cdn.com으로, 이전부터 TA505와 관련이 깊은 사이트다. 드리덱스(Dridex), 록키(Locky), 네커스(Necurs) 등의 멀웨어도 여기서 유포된 전적을 가지고 있다. 이 때문에 엘라스틱소프트웨어는 롭샷이 TA505의 새로운 멀웨어인 것으로 추정하고 있다.
구글 광고의 악용
지난 1월에도 라다만티스 스틸러(Rhadamanthys Stealer)라는 멀웨어가 구글 광고 플랫폼을 통해 유포된 적이 있다. 이 때도 공격자들은 애니데스크와 줌을 다운로드 받을 수 있다는 식으로 광고를 올려 피해자들을 현혹시켰다. 그 외에도 구글 애즈 플랫폼을 악용하는 멀버타이징 캠페인이 크게 증가했고, 지금도 그 흐름이 이어지고 있다는 게 엘라스틱소프트웨어의 설명이다.
“현재 보안 커뮤니티 곳곳에서 구글 광고 플랫폼을 통해 행해지는 여러 공격 사례가 보고되고 있는데, 그 방법들이 대동소이합니다.” 스테파닉의 설명이다. “정상 소프트웨어를 정상 광고 플랫폼에서 광고한다는 그 간단한 사실이 피해자들을 효과적으로 속이는 듯합니다. 공격자들이 큰 전략 수정 없이 이 공격을 계속해서 진행하는 것만 봐도 알 수 있죠.”
롭샷에 감염되기까지
공격 시나리오는 다음과 같다.
1) 피해자가 인터넷 검색으로 정상 소프트웨어를 찾는다.
2) 그러면 해당 소프트웨어를 다운로드 받을 수 있는 광고가 뜬다.
3) 클릭하면 공격자들이 미리 만들어 둔 사이트로 연결된다.
4) 예를 들어 실제 애니데스크 URL은 www.anydesk.com인데, 가짜 URL은 amydecke.com이다.
5) 설치파일이 다운로드 된다. 하지만 이 파일 안에는 악성 페이로드가 숨겨져 있어 같이 설치된다.
“저희가 발견한 악성 페이지들은 전부 진짜와 똑같이 생기거나, 정말 소프트웨어 개발사의 홈페이지처럼 생겼습니다. 모든 것이 완벽하리만큼 진짜의 분위기를 풍깁니다.” 그렇기 때문에 다운로드 된 파일에 대하여 사용자들은 의심하지 못하게 된다. 그러나 배경에서는 파워셸이 실행되고, 이를 통해 롭샷이 다운로드 된다. 침투에 성공한 롭샷은 공격자들의 C&C와 연결된다.
어떻게 막을까
롭샷의 중요한 특징 중 하나는 hVNC라는 요소를 가지고 있다는 것이다. hVNC는 ‘숨겨진 가상 네트워크 컴퓨팅(hidden Virtual Network Computing)’의 준말로, 일종의 모듈이며, 특정 기계에 직접적으로, 그러나 눈에 띄지 않게 접근할 수 있도록 해 준다. 공격자들은 이 hVNC를 탐지 회피를 목적으로 주로 활용한다. “요즘 들어 많은 멀웨어들의 모듈과 추가 플러그인에 hVNC가 탑재되고 있습니다. 그 만큼 성능과 효과가 좋다는 뜻입니다.”
엘라스틱소프트웨어 깃허브에 롭샷 감염에 대비한 방어 전략을 여러 개 올려두어 피해를 줄이고자 하고 있다. 방어에 참고할 만한 페이지 주소는 다음과 같다.
1) https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense_evasion_suspicious_windows_explorer_execution.toml
2) https://github.com/elastic/protections-artifacts/blob/main/behavior/rules/defense_evasion_suspicious_parent_child_relationship.toml
3) https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows_Trojan_Lobshot.yar
글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)