요 몇 개월 USB를 통한 사이버 공격이 빠르게 증가하는 중이다. 그 중에서도 소구와 스노위드라이브라는 멀웨어가 눈에 띈다. 하지만 이 둘이 전부는 아니다.
[보안뉴스 문가용 기자] 악성 USB를 이용한 새로운 공격 캠페인이 두 가지나 발견됐다. 하나는 템프헥스(TEMP.Hex)라고 하는 중국의 해킹 그룹이 실시하는 것으로, 피해자 시스템에서 민감한 정보를 모으는 것을 목적으로 한다. 이 때 소구(Sogu)라고 하는 멀웨어가 활용된다. 소구는 피해자 시스템에 꽂혀 있는 USB 드라이브를 찾아내 스스로를 복제한다. 피해자가 이 사실을 모른 채 USB를 계속 이용하면, 그 USB가 가는 곳마다 소구가 퍼진다. 운이 좋으면 망에서 분리되어 있는 시스템도 감염시킬 수 있게 된다.
[이미지 = gettyimagesbank]
보안 업체 맨디언트(Mandiant)에 의하면 소구가 자가 복제 기술을 통해 퍼지는 주요 이유는 정보를 빼돌리기 위해서라고 한다. 주로 경제와 국가 안보라는 측면에서 중국 정부에 유리하게 활용될 수 있는 정보들이 수집 대상이다. 맨디언트는 “공격 대상이 다양하고 여러 지역에 걸쳐 있다”며 “엔지니어링, 건설, 정부 기관, 운송, 의료 등에서 특히 많은 피해자들이 발견되고 있다”고 설명한다.
그 다음, 두 번째 악성 USB 캠페인 역시 맨디언트가 파헤쳤다. 맨디언트가 UNC4698이라고 부르는 단체가 배후에 있는 것으로 보이며, 역시 USB를 통해 멀웨어를 전파한다. UNC4698이 사용하는 멀웨어는 스노위드라이브(SnowyDrive)라고 하며, 피해자의 시스템에 백도어를 생성하는 기능을 가지고 있다. 공격자는 이 백도어를 통해 피해자의 시스템에 자유롭게 드나들 수 있게 된다. 이 캠페인의 주요 표적은 아시아의 석유와 가스 관련 기업들이다.
맨디언트에 의하면 2023년 전반기 동안 USB 드라이브를 이용한 악성 캠페인은 3배 가까이 늘어났다고 한다. 하지만 갑작스런 USB 캠페인의 증가 이유에 대해서는 아직 명확히 알려진 바가 없다. USB를 이용한 사이버 공격은 해커들 사이에서 크게 선호되지 않는 편이다. 아주 가끔 대형 해킹 조직이 특수한 목적을 가지고 실시하는 게 거의 전부였다.
USB를 활용한 멀웨어 캠페인
소구와 스노위드라이브는 최근 보안 업계가 발견한 USB 기반 멀웨어 중 두 가지 사례에 불과하다. 지난 12월에는 맨디언트가 UNC4191이라는 중국의 해킹 단체가 USB 드라이브를 통해 네 가지 종류의 멀웨어를 유포하고 있다는 것을 발견해 발표한 적이 있었다. 당시 캠페인은 동남아시아 국가의 민간 기업들이었고, 미국, 유럽, 아태 지역의 조직들 일부도 피해를 입었었다.
또 있다. 보안 업체 체크포인트(Check Point)는 지난 6월 카마로드래곤(Camaro Dragon) 혹은 무스탕판다(Mustang Panda)라고 불리는 중국의 해킹 조직이 한 병원 네트워크에 침투했다는 사실을 알리며, 공격자들이 USB 드라이브를 활용했다고 밝혔었다. 당시에도 USB를 통하여 자가 복제하며 데이터를 훔치는 멀웨어가 퍼지고 있었다고 체크포인트 측은 경고했다. 민간 해킹 단체 중에서 악명 높기로 첫 손에 꼽히는 핀7(FIN7) 역시 작년 USB로 랜섬웨어를 퍼트리다가 FBI에 걸렸었다.
맨디언트의 연구원 로멜 조벤(Rommel Joven)과 응 춘 키앗(NG Choon Kiat)은 “USB 관리에 다시 신경을 써야 할 시기”라고 말한다. “회사에서 허용한 USB만 사용하도록 하거나, 이게 불가능하면 USB를 스캔한 후에 사용해야 한다는 정책을 도입하는 게 좋습니다. 아무 USB나 막 꽂아도 되게 한다면 지금 USB 멀웨어가 늘어나는 추세에 속수무책으로 당할 수 있습니다.”
USB 멀웨어, 데이터를 훔치다
여느 USB 기반 공격들과 마찬가지로 소구와 스노위드라이브 캠페인 역시 “사용자가 감염된 USB 드라이브를 집어들고 회사 내 컴퓨터에 꽂는다”는 단계가 반드시 있어야만 성공할 수 있다. 멀웨어에 따라 피해자의 추가적인 움직임을 필요로 할 수도 있다. 그렇기 때문에 피해자가 조금만 경계심을 높여도 공격 성공률은 낮아진다. 맨디언트는 “그래서 호텔이나 인쇄소 등 피해자들이 그나마 조금 허술해지는 지점들에서 공격이 주로 성공한다”고 설명한다.
소구 멀웨어는 USB 드라이브를 통해 세 개의 파일을 피해자의 시스템에 심는다. 정상 실행파일 하나, 악성 DLL 로더 하나, 암호화된 페이로드 하나다. 정상 실행파일은 시만텍이나 어베스트의 보안 소프트웨어를 가장하고 있으며, 실행시키면 악성 DLL 파일인 Korplug가 로딩된다. 이 Korplug는 암호화된 페이로드를 복호화 하며, 그 결과 메모리 내에 소구 백도어가 로딩된다. 그 다음 소구는 시스템의 메타데이터를 수집하고, C 드라이브를 검색해 .docx, .doc, .ppt, .pdf 등의 파일들을 찾는다. 그런 후 외부로 내보낸다.
스노위드라이브의 경우에도 악성 USB 안에 정상적으로 보이는 실행파일이 저장되어 있는데, 피해자가 이를 클릭하면 암호화된 파일 여러 개를 피해자의 시스템에 드롭시킨다. 이 파일들은 또 다른 실행파일이거나 악성 DLL 파일이다. 그 중 하나가 스노위드라이브라고 한다. 스노위드라이브는 셸코드를 기반으로 한 백도어로, 많은 명령어들로 구성되어 있다. 그래서 이 명령어들을 통해 파일을 생성하고, 쓰고, 삭제할 수 있으며 업로드도 할 수 있다. cmd.exe 리버스 셸을 생성할 수도 있고 드라이브들을 목록화 할 수도 있으며, 파일과 디렉토리 검색도 할 수 있다. C&C 서버와의 통신도 가능하다.
3줄 요약
1. USB를 이용한 사이버 공격, 사실 크게 선호되지는 않음.
2. 그러나 최근 몇 개월 동안 USB 기반 공격이 꾸준히 증가.
3. 특히 최근에는 소구와 스노위드라이브라는 멀웨어들이 자주 나타남.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 악성 USB를 이용한 새로운 공격 캠페인이 두 가지나 발견됐다. 하나는 템프헥스(TEMP.Hex)라고 하는 중국의 해킹 그룹이 실시하는 것으로, 피해자 시스템에서 민감한 정보를 모으는 것을 목적으로 한다. 이 때 소구(Sogu)라고 하는 멀웨어가 활용된다. 소구는 피해자 시스템에 꽂혀 있는 USB 드라이브를 찾아내 스스로를 복제한다. 피해자가 이 사실을 모른 채 USB를 계속 이용하면, 그 USB가 가는 곳마다 소구가 퍼진다. 운이 좋으면 망에서 분리되어 있는 시스템도 감염시킬 수 있게 된다.
[이미지 = gettyimagesbank]
보안 업체 맨디언트(Mandiant)에 의하면 소구가 자가 복제 기술을 통해 퍼지는 주요 이유는 정보를 빼돌리기 위해서라고 한다. 주로 경제와 국가 안보라는 측면에서 중국 정부에 유리하게 활용될 수 있는 정보들이 수집 대상이다. 맨디언트는 “공격 대상이 다양하고 여러 지역에 걸쳐 있다”며 “엔지니어링, 건설, 정부 기관, 운송, 의료 등에서 특히 많은 피해자들이 발견되고 있다”고 설명한다.
그 다음, 두 번째 악성 USB 캠페인 역시 맨디언트가 파헤쳤다. 맨디언트가 UNC4698이라고 부르는 단체가 배후에 있는 것으로 보이며, 역시 USB를 통해 멀웨어를 전파한다. UNC4698이 사용하는 멀웨어는 스노위드라이브(SnowyDrive)라고 하며, 피해자의 시스템에 백도어를 생성하는 기능을 가지고 있다. 공격자는 이 백도어를 통해 피해자의 시스템에 자유롭게 드나들 수 있게 된다. 이 캠페인의 주요 표적은 아시아의 석유와 가스 관련 기업들이다.
맨디언트에 의하면 2023년 전반기 동안 USB 드라이브를 이용한 악성 캠페인은 3배 가까이 늘어났다고 한다. 하지만 갑작스런 USB 캠페인의 증가 이유에 대해서는 아직 명확히 알려진 바가 없다. USB를 이용한 사이버 공격은 해커들 사이에서 크게 선호되지 않는 편이다. 아주 가끔 대형 해킹 조직이 특수한 목적을 가지고 실시하는 게 거의 전부였다.
USB를 활용한 멀웨어 캠페인
소구와 스노위드라이브는 최근 보안 업계가 발견한 USB 기반 멀웨어 중 두 가지 사례에 불과하다. 지난 12월에는 맨디언트가 UNC4191이라는 중국의 해킹 단체가 USB 드라이브를 통해 네 가지 종류의 멀웨어를 유포하고 있다는 것을 발견해 발표한 적이 있었다. 당시 캠페인은 동남아시아 국가의 민간 기업들이었고, 미국, 유럽, 아태 지역의 조직들 일부도 피해를 입었었다.
또 있다. 보안 업체 체크포인트(Check Point)는 지난 6월 카마로드래곤(Camaro Dragon) 혹은 무스탕판다(Mustang Panda)라고 불리는 중국의 해킹 조직이 한 병원 네트워크에 침투했다는 사실을 알리며, 공격자들이 USB 드라이브를 활용했다고 밝혔었다. 당시에도 USB를 통하여 자가 복제하며 데이터를 훔치는 멀웨어가 퍼지고 있었다고 체크포인트 측은 경고했다. 민간 해킹 단체 중에서 악명 높기로 첫 손에 꼽히는 핀7(FIN7) 역시 작년 USB로 랜섬웨어를 퍼트리다가 FBI에 걸렸었다.
맨디언트의 연구원 로멜 조벤(Rommel Joven)과 응 춘 키앗(NG Choon Kiat)은 “USB 관리에 다시 신경을 써야 할 시기”라고 말한다. “회사에서 허용한 USB만 사용하도록 하거나, 이게 불가능하면 USB를 스캔한 후에 사용해야 한다는 정책을 도입하는 게 좋습니다. 아무 USB나 막 꽂아도 되게 한다면 지금 USB 멀웨어가 늘어나는 추세에 속수무책으로 당할 수 있습니다.”
USB 멀웨어, 데이터를 훔치다
여느 USB 기반 공격들과 마찬가지로 소구와 스노위드라이브 캠페인 역시 “사용자가 감염된 USB 드라이브를 집어들고 회사 내 컴퓨터에 꽂는다”는 단계가 반드시 있어야만 성공할 수 있다. 멀웨어에 따라 피해자의 추가적인 움직임을 필요로 할 수도 있다. 그렇기 때문에 피해자가 조금만 경계심을 높여도 공격 성공률은 낮아진다. 맨디언트는 “그래서 호텔이나 인쇄소 등 피해자들이 그나마 조금 허술해지는 지점들에서 공격이 주로 성공한다”고 설명한다.
소구 멀웨어는 USB 드라이브를 통해 세 개의 파일을 피해자의 시스템에 심는다. 정상 실행파일 하나, 악성 DLL 로더 하나, 암호화된 페이로드 하나다. 정상 실행파일은 시만텍이나 어베스트의 보안 소프트웨어를 가장하고 있으며, 실행시키면 악성 DLL 파일인 Korplug가 로딩된다. 이 Korplug는 암호화된 페이로드를 복호화 하며, 그 결과 메모리 내에 소구 백도어가 로딩된다. 그 다음 소구는 시스템의 메타데이터를 수집하고, C 드라이브를 검색해 .docx, .doc, .ppt, .pdf 등의 파일들을 찾는다. 그런 후 외부로 내보낸다.
스노위드라이브의 경우에도 악성 USB 안에 정상적으로 보이는 실행파일이 저장되어 있는데, 피해자가 이를 클릭하면 암호화된 파일 여러 개를 피해자의 시스템에 드롭시킨다. 이 파일들은 또 다른 실행파일이거나 악성 DLL 파일이다. 그 중 하나가 스노위드라이브라고 한다. 스노위드라이브는 셸코드를 기반으로 한 백도어로, 많은 명령어들로 구성되어 있다. 그래서 이 명령어들을 통해 파일을 생성하고, 쓰고, 삭제할 수 있으며 업로드도 할 수 있다. cmd.exe 리버스 셸을 생성할 수도 있고 드라이브들을 목록화 할 수도 있으며, 파일과 디렉토리 검색도 할 수 있다. C&C 서버와의 통신도 가능하다.
3줄 요약
1. USB를 이용한 사이버 공격, 사실 크게 선호되지는 않음.
2. 그러나 최근 몇 개월 동안 USB 기반 공격이 꾸준히 증가.
3. 특히 최근에는 소구와 스노위드라이브라는 멀웨어들이 자주 나타남.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
