.jpg)
공공 클라우드는 많은 사용자들의 삶을 편리하게 해 줄 것으로 기대를 받고 있으며, 이미 그런 혜택을 누리는 사람들이 많은 것이 사실이다. 문제는 그 혜택을 받는 사람들 중 사이버 공격자들이 다수 섞여 있다는 것이다.
[보안뉴스 문가용 기자] 공격자들 사이에서 클라우드의 인기가 점점 높아지고 있다. 마이크로소프트의 원드라이브나 구글 드라이브와 같이 사용자가 대단히 많은 기존 공공 클라우드 서비스를 공격 인프라로 활용하는 사례가 빈번해지다 못해 이제는 보편화 단계에까지 이르는 중이다. 보안 업체 시만텍(Symantec)의 경우, 이번 주에만 다섯 개의 사이버 정찰 작전을 적발해 냈는데, 모두 클라우드를 영리하게 활용하고 있었다고 한다. 이에 대해 이번 주 개최된 글로벌 보안 콘퍼런스 블랙햇(Black Hat) 2024에서 발표가 있었다.
[이미지=gettyimagesbank]
1. 고그라(GoGra)
시만텍에 의하면 제일 먼저 발견된 건 고그라라는 백도어를 활용한 캠페인이었다고 한다. 고그라는 이전에 한 번도 발견된 적이 없는 멀웨어로, 2023년 11월부터 주로 남아시아의 한 미디어 업체를 공격하는 데 활용됐다. 이름 그대로 고 언어로 작성되었고, 마이크로소프트의 그래프API(Graph API)를 활용해 C&C 서버와 통신한다는 특징을 가지고 있다. 이 C&C 서버라는 것도 마이크로소프트의 메일 서비스에 호스팅 되어 있었던 것으로 드러났다.
참고로 그래프는 마이크로소프트의 API로, 마이크로소프트 클라우드 서비스에 호스팅 되어 있는 자원들에 편리하게 접근할 수 있도록 해 주는 기능 중 하나다. 여기에는 MS365나 MS 아웃룩, 애저와 같은 서비스나 플랫폼들이 포함된다. 이 때 인증은 오오스(OAuth) 접근 토큰을 통해 이뤄진다고 시만텍은 설명한다.
고그라의 경우 위에서 언급한 것처럼 아웃룩 환경을 C&C처럼 활용하는데, 이 때 몇 가지 특징들이 나타난다.
1) 통신하는 아웃룩 사용자 이름은 FNU LNU이다.
2) 이 사용자가 전송하는 메일의 제목은 Input이라는 단어로 시작한다.
3) AES-256 알고리즘을 사용하여 메시지 내용을 복호화 한다.
4) 복호화 된 메시지 속에 숨겨진 명령을 실행하는데, 이 때 cmd.exe를 활용한다.
5) 실행하여 나온 결과값을 암호화 하여 FNU LNU 사용자에게 전송한다. 이 때 제목은 Output이라는 글자로 시작한다.
현재까지 분석된 바에 따르면 고그라는 하베스터(Harvester)라는 공격 조직이 사용해 오던 도구인 그래폰(Graphon)과 여러 모로 비슷한 면을 가지고 있다고 한다. 게다가 하베스터는 남아시아를 집중적으로 공략하던 해킹 조직이기도 하다.
2. 파이어플라이(Firefly)의 새로운 공격 도구
파이어플라이는 정찰과 정보 탈취를 전문으로 하는 해킹 조직이다. 그런데 이들도 이전까지 한 번도 발견된 적이 없었던 정보 탈취 도구를 활용하는 모습을 보이기 시작했다고 시만텍은 발표했다. 이 도구는 구글 드라이브라는 공공 클라우드의 클라이언트를 통해 누구나 열람 및 활용이 가능한 상태였다.
이 도구에는 딱히 이름이 붙어 있지 않다. 다만 System32 디렉토리로부터 모든 jpg 파일들을 찾아 구글 드라이브로 업로드 하는 기능을 가지고 있는 것으로 분석됐다. 하지만 시만텍이 조사했을 때 공격자들의 구글 드라이브에 업로드 된 것들은 진짜 이미지(jpg) 파일들이 아니었다. “실상은 전부가 RAR 파일들이었습니다. 암호까지 걸려 있었고요. 그 안에는 각종 문서와 회의록, 통화 스크립트, 계획서, 이메일 폴더, 회계 관련 데이터가 섞여 있었습니다. 공격자들은 아마도 훔쳐낸 파일들을 일일이 이런 식으로 포장하는 것일 수도 있고, 이런 최종 처리를 담당하는 도구를 사용하고 있을 수도 있습니다.”
3. 그레이거(Grager)
대만과 홍콩, 베트남의 기업들을 겨냥한 캠페인이 발견됐다. 이 캠페인은 2024년 4월부터 나타나기 시작했으며, 그래프API를 통해 MS 원드라이브에 호스팅 되어 있는 C&C 서버와 통신하는 것으로 분석됐다. 그레이거 자체는 파일 압축 유틸리티인 7zip의 설치파일 형태로 유포되고 있었다. 이 설치파일을 실행시킬 경우 피해자의 C:\Program Files (x86)\7-Zip 폴더에 실제 7zip 유틸리티가 설치된다. 그런데 거기에 더해 악성 DLL 파일이 추가된다. 이 파일의 정체는 토너잼(Tonerjam)과 그레이거라는 백도어다.
토너잼의 경우 과거 보안 업체 맨디언트(Mandiant)가 보고서를 통해 상세히 설명한 적이 있는 멀웨어다. 셸코드 페이로드를 복호화시킨 후 로딩시키는 기능을 가지고 있는데, 이 경우 문제의 셸코드 페이로드는 그레이거다. 그레이거는 원드라이브를 통해 명령을 실행하는데, 이는 크게 다음과 같다.
1) 피해자 기계 정보 수집 및 유출
2) 파일 다운로드/업로드
3) 파일 실행
4) 파일 시스템 정보 수집
4. 문태그(MoonTag)
현재 개발 중에 있는 것으로 보이는 백도어로, 역시 클라우드를 활용한다. 최근 몇 주 동안에만 여러 가지 버전의 문태그 샘플들이 바이러스토탈에 업로드 된 바 있다. 다만 그 어떤 버전도 ‘온전한’ 형태는 아니었다고 한다. 위의 멀웨어들과 마찬가지로 그래프API를 활용하여 구글 클라우드에 호스팅된 자원들과 통신하는 기능을 시만텍의 연구원들은 확인할 수 있었다고 한다.
문태그의 경우 배후 세력에 대해 아직 이렇다 할 정보를 확보하지 못한 상황이라고 시만텍은 설명한다. “하지만 중국어를 구사하는 사이버 공격자라는 것은 거의 분명합니다. 이들은 문태그 배포와 실험을 위해 구글 그룹(Google Group)이라는 기능을 사용하는데, 여기 게시글이 대부분 중국어로 되어 있습니다. 첫 손에 떠오르는 그룹은 세이버판다(Sabre Panda)인데, 아직 자신할 정도로 연관성을 찾아낸 건 아닙니다.”
5. 원드라이브툴즈(Onedrivetools)
원드라이브툴즈라는 것도 존재한다. 미국과 유럽의 IT 서비스 업체들을 대상으로 활용되고 있는 도구로, 일종의 백도어다. 역시 MS 그래프API를 통해 인증 과정을 해결한 후 두 번째 페이로드를 다운로드 받는 방식으로 공격을 시작한다. 두 번째 페이로드는 원드라이브에 호스팅 되어 있다. 두 번째 페이로드는 최종 페이로드를 깃허브로부터 받아 실행시키는 기능을 가지고 있는 것으로 분석됐다.
최종 페이로드는 파일 형태로 피해자의 시스템 내에 저장되며, 원드라이브로부터 추가 명령을 받아 실행시킬 수 있고, 피해자 시스템에서 추출한 파일을 원드라이브에 올릴 수도 있다. 이 과정에서 윕위브(Whipweave)라는 해킹 도구가 사용되기도 한다.
“공공 클라우드 서비스를 C&C로 활용하는 것은 전혀 새로운 기술이 아닙니다. 심지어 전략성에 있어 창의적이라고 말할 것도 없지요. 하지만 얼마 전까지만 해도 그렇지 않았습니다. 얼마 전만 하더라도 유명 클라우드를 공격에 활용하는 건 실력 좋고 뛰어난 그룹들만 할 수 있는 일이었습니다. 그런데 지금은 모든 해커들이 하고 있다고 봐도 무방할 정도입니다.”
클라우드를 공격에 활용할 때 어떤 이점이 있을까? “제일 먼저는 유명 클라우드 서비스로부터 트래픽이 발생하는 것이므로 보안 소프트웨어들이 악성으로 분류하지 않습니다. 또한 악성 링크조차 유명 클라우드 서비스의 URL을 쓰게 되므로 사용자들조차 쉽게 속일 수 있습니다. 그리고 공공 클라우드는 누구나 쉽게 계정을 만들어 사용할 수 있지요. 그러므로 공격자를 역으로 추적해 정체를 파악하는 게 어려워집니다. 여러 모로 공격자들에게 이점이 많은 공격 방식이라고 할 수 있습니다.”
3줄 요약
1. 요즘 클라우드를 활용하는 공격자들이 너무나 많아짐.
2. 예전에는 고급 기술이었는데 이제는 보편적인 기술이 된 느낌.
3. 점점 더 클라우드 통한 공격 전략이 늘어나는 추세.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 공격자들 사이에서 클라우드의 인기가 점점 높아지고 있다. 마이크로소프트의 원드라이브나 구글 드라이브와 같이 사용자가 대단히 많은 기존 공공 클라우드 서비스를 공격 인프라로 활용하는 사례가 빈번해지다 못해 이제는 보편화 단계에까지 이르는 중이다. 보안 업체 시만텍(Symantec)의 경우, 이번 주에만 다섯 개의 사이버 정찰 작전을 적발해 냈는데, 모두 클라우드를 영리하게 활용하고 있었다고 한다. 이에 대해 이번 주 개최된 글로벌 보안 콘퍼런스 블랙햇(Black Hat) 2024에서 발표가 있었다.
[이미지=gettyimagesbank]
1. 고그라(GoGra)
시만텍에 의하면 제일 먼저 발견된 건 고그라라는 백도어를 활용한 캠페인이었다고 한다. 고그라는 이전에 한 번도 발견된 적이 없는 멀웨어로, 2023년 11월부터 주로 남아시아의 한 미디어 업체를 공격하는 데 활용됐다. 이름 그대로 고 언어로 작성되었고, 마이크로소프트의 그래프API(Graph API)를 활용해 C&C 서버와 통신한다는 특징을 가지고 있다. 이 C&C 서버라는 것도 마이크로소프트의 메일 서비스에 호스팅 되어 있었던 것으로 드러났다.
참고로 그래프는 마이크로소프트의 API로, 마이크로소프트 클라우드 서비스에 호스팅 되어 있는 자원들에 편리하게 접근할 수 있도록 해 주는 기능 중 하나다. 여기에는 MS365나 MS 아웃룩, 애저와 같은 서비스나 플랫폼들이 포함된다. 이 때 인증은 오오스(OAuth) 접근 토큰을 통해 이뤄진다고 시만텍은 설명한다.
고그라의 경우 위에서 언급한 것처럼 아웃룩 환경을 C&C처럼 활용하는데, 이 때 몇 가지 특징들이 나타난다.
1) 통신하는 아웃룩 사용자 이름은 FNU LNU이다.
2) 이 사용자가 전송하는 메일의 제목은 Input이라는 단어로 시작한다.
3) AES-256 알고리즘을 사용하여 메시지 내용을 복호화 한다.
4) 복호화 된 메시지 속에 숨겨진 명령을 실행하는데, 이 때 cmd.exe를 활용한다.
5) 실행하여 나온 결과값을 암호화 하여 FNU LNU 사용자에게 전송한다. 이 때 제목은 Output이라는 글자로 시작한다.
현재까지 분석된 바에 따르면 고그라는 하베스터(Harvester)라는 공격 조직이 사용해 오던 도구인 그래폰(Graphon)과 여러 모로 비슷한 면을 가지고 있다고 한다. 게다가 하베스터는 남아시아를 집중적으로 공략하던 해킹 조직이기도 하다.
2. 파이어플라이(Firefly)의 새로운 공격 도구
파이어플라이는 정찰과 정보 탈취를 전문으로 하는 해킹 조직이다. 그런데 이들도 이전까지 한 번도 발견된 적이 없었던 정보 탈취 도구를 활용하는 모습을 보이기 시작했다고 시만텍은 발표했다. 이 도구는 구글 드라이브라는 공공 클라우드의 클라이언트를 통해 누구나 열람 및 활용이 가능한 상태였다.
이 도구에는 딱히 이름이 붙어 있지 않다. 다만 System32 디렉토리로부터 모든 jpg 파일들을 찾아 구글 드라이브로 업로드 하는 기능을 가지고 있는 것으로 분석됐다. 하지만 시만텍이 조사했을 때 공격자들의 구글 드라이브에 업로드 된 것들은 진짜 이미지(jpg) 파일들이 아니었다. “실상은 전부가 RAR 파일들이었습니다. 암호까지 걸려 있었고요. 그 안에는 각종 문서와 회의록, 통화 스크립트, 계획서, 이메일 폴더, 회계 관련 데이터가 섞여 있었습니다. 공격자들은 아마도 훔쳐낸 파일들을 일일이 이런 식으로 포장하는 것일 수도 있고, 이런 최종 처리를 담당하는 도구를 사용하고 있을 수도 있습니다.”
3. 그레이거(Grager)
대만과 홍콩, 베트남의 기업들을 겨냥한 캠페인이 발견됐다. 이 캠페인은 2024년 4월부터 나타나기 시작했으며, 그래프API를 통해 MS 원드라이브에 호스팅 되어 있는 C&C 서버와 통신하는 것으로 분석됐다. 그레이거 자체는 파일 압축 유틸리티인 7zip의 설치파일 형태로 유포되고 있었다. 이 설치파일을 실행시킬 경우 피해자의 C:\Program Files (x86)\7-Zip 폴더에 실제 7zip 유틸리티가 설치된다. 그런데 거기에 더해 악성 DLL 파일이 추가된다. 이 파일의 정체는 토너잼(Tonerjam)과 그레이거라는 백도어다.
토너잼의 경우 과거 보안 업체 맨디언트(Mandiant)가 보고서를 통해 상세히 설명한 적이 있는 멀웨어다. 셸코드 페이로드를 복호화시킨 후 로딩시키는 기능을 가지고 있는데, 이 경우 문제의 셸코드 페이로드는 그레이거다. 그레이거는 원드라이브를 통해 명령을 실행하는데, 이는 크게 다음과 같다.
1) 피해자 기계 정보 수집 및 유출
2) 파일 다운로드/업로드
3) 파일 실행
4) 파일 시스템 정보 수집
4. 문태그(MoonTag)
현재 개발 중에 있는 것으로 보이는 백도어로, 역시 클라우드를 활용한다. 최근 몇 주 동안에만 여러 가지 버전의 문태그 샘플들이 바이러스토탈에 업로드 된 바 있다. 다만 그 어떤 버전도 ‘온전한’ 형태는 아니었다고 한다. 위의 멀웨어들과 마찬가지로 그래프API를 활용하여 구글 클라우드에 호스팅된 자원들과 통신하는 기능을 시만텍의 연구원들은 확인할 수 있었다고 한다.
문태그의 경우 배후 세력에 대해 아직 이렇다 할 정보를 확보하지 못한 상황이라고 시만텍은 설명한다. “하지만 중국어를 구사하는 사이버 공격자라는 것은 거의 분명합니다. 이들은 문태그 배포와 실험을 위해 구글 그룹(Google Group)이라는 기능을 사용하는데, 여기 게시글이 대부분 중국어로 되어 있습니다. 첫 손에 떠오르는 그룹은 세이버판다(Sabre Panda)인데, 아직 자신할 정도로 연관성을 찾아낸 건 아닙니다.”
5. 원드라이브툴즈(Onedrivetools)
원드라이브툴즈라는 것도 존재한다. 미국과 유럽의 IT 서비스 업체들을 대상으로 활용되고 있는 도구로, 일종의 백도어다. 역시 MS 그래프API를 통해 인증 과정을 해결한 후 두 번째 페이로드를 다운로드 받는 방식으로 공격을 시작한다. 두 번째 페이로드는 원드라이브에 호스팅 되어 있다. 두 번째 페이로드는 최종 페이로드를 깃허브로부터 받아 실행시키는 기능을 가지고 있는 것으로 분석됐다.
최종 페이로드는 파일 형태로 피해자의 시스템 내에 저장되며, 원드라이브로부터 추가 명령을 받아 실행시킬 수 있고, 피해자 시스템에서 추출한 파일을 원드라이브에 올릴 수도 있다. 이 과정에서 윕위브(Whipweave)라는 해킹 도구가 사용되기도 한다.
“공공 클라우드 서비스를 C&C로 활용하는 것은 전혀 새로운 기술이 아닙니다. 심지어 전략성에 있어 창의적이라고 말할 것도 없지요. 하지만 얼마 전까지만 해도 그렇지 않았습니다. 얼마 전만 하더라도 유명 클라우드를 공격에 활용하는 건 실력 좋고 뛰어난 그룹들만 할 수 있는 일이었습니다. 그런데 지금은 모든 해커들이 하고 있다고 봐도 무방할 정도입니다.”
클라우드를 공격에 활용할 때 어떤 이점이 있을까? “제일 먼저는 유명 클라우드 서비스로부터 트래픽이 발생하는 것이므로 보안 소프트웨어들이 악성으로 분류하지 않습니다. 또한 악성 링크조차 유명 클라우드 서비스의 URL을 쓰게 되므로 사용자들조차 쉽게 속일 수 있습니다. 그리고 공공 클라우드는 누구나 쉽게 계정을 만들어 사용할 수 있지요. 그러므로 공격자를 역으로 추적해 정체를 파악하는 게 어려워집니다. 여러 모로 공격자들에게 이점이 많은 공격 방식이라고 할 수 있습니다.”
3줄 요약
1. 요즘 클라우드를 활용하는 공격자들이 너무나 많아짐.
2. 예전에는 고급 기술이었는데 이제는 보편적인 기술이 된 느낌.
3. 점점 더 클라우드 통한 공격 전략이 늘어나는 추세.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
