스카이프와 팀즈라는 유명 협업 도구가 최근 다크게이트라는 멀웨어의 유포 채널로 작용하고 있다. 다크게이트는 원래부터 있던 멀웨어였지만 최근 사업 모델이 바뀌면서 급증하고 있어 주의가 필요하다.
[보안뉴스 문가용 기자] 협업에 사용되는 유명 도구인 스카이프(Skype)와 팀즈(MS Teams)의 계정을 침해하여 멀웨어를 퍼트리는 행위가 적발됐다. 퍼지고 있는 멀웨어는 다크게이트(DarkGate)라고 하는 일종의 로더이며, 공격자들은 이를 이용해 정보를 훔치고 키로깅을 하며, 암호화폐 채굴을 하거나 랜섬웨어를 추가로 퍼트리는 것으로 분석됐다. 특히 블랙바스타(Black Basta)라는 랜섬웨어가 퍼지는 것으로 알려져 있다.
[이미지 = gettyimagesbank]
8월부터 시작된 것으로 보이는 이 캠페인의 표적이 되는 곳은 다양한데 41%는 미국에 있다고 보안 업체 트렌드마이크로(Trend Micro)는 밝히고 있다. 현재 다크게이트의 개발자들은 다크웹 포럼을 통해 다크게이트를 열심히 홍보하고 있으며, 구독형 서비스로서 제공하는 사업을 벌이고 있다고 한다. 사업 형태를 이렇게 바꾼 것은 큰 성공인 것으로 보이며, 최근 급증하는 가장 주요 원인으로 추정된다.
스카이프와 팀즈
현 시점에서 다크게이트가 퍼지는 경로는 스카이프와 팀즈라는 유명 통신 소프트웨어들이다. 주로 사용자들의 정상적인 계정을 침해하여 장악한 뒤, 해당 사용자와 신뢰 관계에 있는 사람들을 노려 멀웨어를 전파하는 식이다. 계정을 탈취 당한 사용자가 진행하고 있는 대화 쓰레드를 통해 상대방과 이야기를 이어가며 최대한 의심을 사지 않도록 한다. 그러다가 자연스럽게 멀웨어 설치 파일을 넘기거나 링크를 전달한다. 설치 파일은 설치 파일 형태 그대로 전달되지 않는다. PDF 파일로 위장되어 있다. 피해자가 이를 받아 실행시킬 경우 다크게이트를 원격에서 다운로드 받아 피해자의 파일에 설치하는 과정이 시작된다.
스카이프에서나 팀즈에서나 크게 다르지 않은 공격 전략이 차용됐는데, 한 가지 차이점은 팀즈에서의 공격은 악성 PDF 파일이 아니라 악성 LNK 파일이 사용되고 있다는 것이다. 또 스카이프에서는 공격자가 마치 친한 사람인 것처럼 행동하고 연기하는데, 팀즈에서는 그러한 노력을 하지 않는 것으로 조사됐다. 피해자가 모르는 외부 조직이라는 것을 숨기지 않고 피싱 메시지들을 뿌리고 있다는 게 현재까지 조사된 내용이다.
다크게이트
다크게이트는 이미 2017년에 처음 발견된 오래된 멀웨어다. 그 동안 세계 곳곳에서 이따금씩 발견되어 왔다. 피해자의 시스템에 설치된 후 공격자로부터 여러 명령을 받아 실행할 수 있는데, 주로 정보 수집, 네트워크 매핑, 디렉토리 변경 등의 악성 행위들을 저질러 왔다. 다크게이트를 통해 가상기계 환경이나 원격 데스크톱 프로토콜을 악용하는 사례도 있었고, 심지어 암호화폐를 채굴하거나 키로깅을 실시하고 권한을 상승시키는 경우도 있었다.
그 동안 다크게이트는 오토아이티(AutoIT)라는 윈도 자동화 및 스크립팅 도구를 악용해 유포되거나 실행됐었다. 오토아이티는 윈도 체제에 있는 정상적인 도구이나, 여러 사이버 해킹 단체들이 자신들의 악성 행위를 숨기거나 포장하는 데에도 심심찮게 사용되어 왔다. 공격자들이 이처럼 정상적인 도구나 앱들을 이용해 악성 행위를 저지르는 것을 ‘리빙오프더랜드(living-off-the-land)’ 전략이라고 부른다.
다크게이트가 끝이 아니다
다크게이트는 일종의 로더로, 그 자체로 공격의 궁극적 목적을 달성시키지는 않는다. 공격자들은 다크게이트를 심은 뒤, 그 다크게이트를 통해 진짜 공격을 실시한다. 위에서 언급한 정보 탈취나 키로깅, 암호화폐 채굴과 같은 행위들이 전부 후속으로 이어지는 ‘진짜 공격’에 해당한다. 이번 캠페인의 경우 트렌드마이크로가 조사했을 때 렘코스(Remcos)라는 RAT 멀웨어가 추가로 설치되는 경우가 많았다고 한다. 렘코스는 일종의 백도어로, 정보 탈취와 피해자 감시 기능을 갖추고 있다.
하지만 다크게이트를 이용한 기존 공격들을 고려했을 때 공격자들이 더 파괴적이거나(삭제형 멀웨어나 랜섬웨어 등), 더 은밀한(암호화폐 채굴 코드 등) 추가 공격을 이어간다 하더라도 이상할 것이 없다. 그래서 트렌드마이크로는 어떤 조직이라도 다크게이트를 새로운 위협으로 간주하고 방어해야 한다고 주장한다. “게다가 최근 사업 모델을 바꿨죠. 다크게이트를 대여하는 방향으로 전환했습니다. 그러니 다크게이트가 광범위하게 확산할 가능성이 높습니다.”
현재는 스카이프와 팀즈가 문제의 시초가 되고 있으니 해당 앱을 사용할 때의 보안 수칙과 규정을 새롭게 정해야 할 필요가 있다고 트렌드마이크로는 권장한다. “파일이나 링크를 상호 간에 전달할 때의 보안 수칙을 새롭게 해야 합니다. 첨부파일을 다루는 방법도 설정하고, 다중인증을 도입하는 것도 큰 도움이 됩니다.”
3줄 요약
1. 다크게이트라는 멀웨어가 스카이프와 팀즈 통해 퍼지고 있음.
2. 다크게이트 개발자가 최근 구독형으로 사업 모델 바꾸면서 최근 급증.
3. 다크게이트 통해 암호화폐 채굴, 정보 탈취, 랜섬웨어 등 후속 공격 이어질 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 협업에 사용되는 유명 도구인 스카이프(Skype)와 팀즈(MS Teams)의 계정을 침해하여 멀웨어를 퍼트리는 행위가 적발됐다. 퍼지고 있는 멀웨어는 다크게이트(DarkGate)라고 하는 일종의 로더이며, 공격자들은 이를 이용해 정보를 훔치고 키로깅을 하며, 암호화폐 채굴을 하거나 랜섬웨어를 추가로 퍼트리는 것으로 분석됐다. 특히 블랙바스타(Black Basta)라는 랜섬웨어가 퍼지는 것으로 알려져 있다.
[이미지 = gettyimagesbank]
8월부터 시작된 것으로 보이는 이 캠페인의 표적이 되는 곳은 다양한데 41%는 미국에 있다고 보안 업체 트렌드마이크로(Trend Micro)는 밝히고 있다. 현재 다크게이트의 개발자들은 다크웹 포럼을 통해 다크게이트를 열심히 홍보하고 있으며, 구독형 서비스로서 제공하는 사업을 벌이고 있다고 한다. 사업 형태를 이렇게 바꾼 것은 큰 성공인 것으로 보이며, 최근 급증하는 가장 주요 원인으로 추정된다.
스카이프와 팀즈
현 시점에서 다크게이트가 퍼지는 경로는 스카이프와 팀즈라는 유명 통신 소프트웨어들이다. 주로 사용자들의 정상적인 계정을 침해하여 장악한 뒤, 해당 사용자와 신뢰 관계에 있는 사람들을 노려 멀웨어를 전파하는 식이다. 계정을 탈취 당한 사용자가 진행하고 있는 대화 쓰레드를 통해 상대방과 이야기를 이어가며 최대한 의심을 사지 않도록 한다. 그러다가 자연스럽게 멀웨어 설치 파일을 넘기거나 링크를 전달한다. 설치 파일은 설치 파일 형태 그대로 전달되지 않는다. PDF 파일로 위장되어 있다. 피해자가 이를 받아 실행시킬 경우 다크게이트를 원격에서 다운로드 받아 피해자의 파일에 설치하는 과정이 시작된다.
스카이프에서나 팀즈에서나 크게 다르지 않은 공격 전략이 차용됐는데, 한 가지 차이점은 팀즈에서의 공격은 악성 PDF 파일이 아니라 악성 LNK 파일이 사용되고 있다는 것이다. 또 스카이프에서는 공격자가 마치 친한 사람인 것처럼 행동하고 연기하는데, 팀즈에서는 그러한 노력을 하지 않는 것으로 조사됐다. 피해자가 모르는 외부 조직이라는 것을 숨기지 않고 피싱 메시지들을 뿌리고 있다는 게 현재까지 조사된 내용이다.
다크게이트
다크게이트는 이미 2017년에 처음 발견된 오래된 멀웨어다. 그 동안 세계 곳곳에서 이따금씩 발견되어 왔다. 피해자의 시스템에 설치된 후 공격자로부터 여러 명령을 받아 실행할 수 있는데, 주로 정보 수집, 네트워크 매핑, 디렉토리 변경 등의 악성 행위들을 저질러 왔다. 다크게이트를 통해 가상기계 환경이나 원격 데스크톱 프로토콜을 악용하는 사례도 있었고, 심지어 암호화폐를 채굴하거나 키로깅을 실시하고 권한을 상승시키는 경우도 있었다.
그 동안 다크게이트는 오토아이티(AutoIT)라는 윈도 자동화 및 스크립팅 도구를 악용해 유포되거나 실행됐었다. 오토아이티는 윈도 체제에 있는 정상적인 도구이나, 여러 사이버 해킹 단체들이 자신들의 악성 행위를 숨기거나 포장하는 데에도 심심찮게 사용되어 왔다. 공격자들이 이처럼 정상적인 도구나 앱들을 이용해 악성 행위를 저지르는 것을 ‘리빙오프더랜드(living-off-the-land)’ 전략이라고 부른다.
다크게이트가 끝이 아니다
다크게이트는 일종의 로더로, 그 자체로 공격의 궁극적 목적을 달성시키지는 않는다. 공격자들은 다크게이트를 심은 뒤, 그 다크게이트를 통해 진짜 공격을 실시한다. 위에서 언급한 정보 탈취나 키로깅, 암호화폐 채굴과 같은 행위들이 전부 후속으로 이어지는 ‘진짜 공격’에 해당한다. 이번 캠페인의 경우 트렌드마이크로가 조사했을 때 렘코스(Remcos)라는 RAT 멀웨어가 추가로 설치되는 경우가 많았다고 한다. 렘코스는 일종의 백도어로, 정보 탈취와 피해자 감시 기능을 갖추고 있다.
하지만 다크게이트를 이용한 기존 공격들을 고려했을 때 공격자들이 더 파괴적이거나(삭제형 멀웨어나 랜섬웨어 등), 더 은밀한(암호화폐 채굴 코드 등) 추가 공격을 이어간다 하더라도 이상할 것이 없다. 그래서 트렌드마이크로는 어떤 조직이라도 다크게이트를 새로운 위협으로 간주하고 방어해야 한다고 주장한다. “게다가 최근 사업 모델을 바꿨죠. 다크게이트를 대여하는 방향으로 전환했습니다. 그러니 다크게이트가 광범위하게 확산할 가능성이 높습니다.”
현재는 스카이프와 팀즈가 문제의 시초가 되고 있으니 해당 앱을 사용할 때의 보안 수칙과 규정을 새롭게 정해야 할 필요가 있다고 트렌드마이크로는 권장한다. “파일이나 링크를 상호 간에 전달할 때의 보안 수칙을 새롭게 해야 합니다. 첨부파일을 다루는 방법도 설정하고, 다중인증을 도입하는 것도 큰 도움이 됩니다.”
3줄 요약
1. 다크게이트라는 멀웨어가 스카이프와 팀즈 통해 퍼지고 있음.
2. 다크게이트 개발자가 최근 구독형으로 사업 모델 바꾸면서 최근 급증.
3. 다크게이트 통해 암호화폐 채굴, 정보 탈취, 랜섬웨어 등 후속 공격 이어질 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
 TH.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
