검색 결과를 조작함으로써 사용자들을 피싱 페이지로 안내하는 것으로 유명한 굿로더가 올해 새롭게 등장했다. 이들은 이번에 ‘호주’와 ‘벵갈고양이’를 키워드로 들고 나타났다. 왜인지는 아무도 모른다.
[보안뉴스 문가용 기자] 수많은 애호가들을 거느리고 있는 고양이라는 동물이 최근 꽤나 독특한 피싱 공격의 재료로서 활용됐다. 굿로더(GootLoader)를 사용하는 운영자들이 벵갈고양이를 미끼로 활용한 건데, 호주에서 벵갈고양이와 관련된 내용을 검색하던 사용자들이라면 이들의 피싱 공격에 당했을 가능성이 있다고 한다.
[이미지 = gettyimagesbank]
굿로더는 일종의 다운로더 형 멀웨어로, 레빌(REvil) 랜섬웨어 조직과 굿킷(Gootkit) 뱅킹 멀웨어 운영자들이 곧잘 활용했었다. 그 인기에 힘입어 굿로더는 꾸준한 업그레이드를 거쳐왔고, 현재는 초기 접근 브로커(IAB)들이 사업 아이템으로 즐겨 활용하는 플랫폼으로 자리를 잡았다. 정보 탈취 기능을 가지고 있는 것은 물론 추가 악성 코드 심기와 같은 ‘후속 공격’도 가능하다.
굿로더는 검색엔진의 검색 결과를 조작하는 방식으로 최초 감염을 시도하는 편이다. 피해자가 뭔가를 검색했을 때 나오는 결과를 공격자들이 조작함으로써 잘못된 클릭을 유도하는 건데, 보통 피해자들은 악성 페이로드가 호스팅되어 있는 사이트에 접속하게 된다. 굿로더는 피해자의 시스템에 안착한 뒤 추가 멀웨어를 설치하는데, 예전에는 주로 굿킷이 활용됐다. 굿킷을 통해 공격자는 피해자의 시스템에 지속적으로 접근할 수 있게 된다. 이 굿킷은 다음으로 랜섬웨어나 코발트스트라이크와 같은 세 번째 페이로드를 피해자 시스템에 설치한다.
보안 업체 소포스(Sophos)에 의하면 이런 식의 굿로더 캠페인을 올해 발견했다고 한다. 재미있는 건 공격자들이 “호주에서 벵갈고양이를 합법적으로 기르는 법”과 관련된 내용을 검색하는 사람들을 노렸다는 것이다. “공격자들은 특정 검색어에 대한 검색결과 순위를 변경해 피해자들이 악성 사이트에 접속하도록 하고, 그런 사이트들에서 자바스크립트를 기반으로 한 굿로더 패키지를 배포했습니다.” 패키지의 이름은 Are_bengal_cats_legal_in_australia_33924.zip이었고, 시스템 다운로드 폴더에 다운로드 됐다.
이 파일을 분석했더니 피해자 시스템 내 RoamingMicrosoft라는 폴더에 자바스크립트 파일을 생성하는 것으로 확인됐다. 이 자바스크립트 파일은 생성될 때마다 %temp% 디렉토리 내에 다른 이름으로 저장됐다. 예를 들어 Temp1_Are_bengal_cats_legal_in_australia_33924.zip이나 are_bengal_cats_legal_in_australia_80872.js 따위였다.
동시에 “Business Aviation”이라는 작업을 예약하고, 이 작업이 실행될 때마다 wscript REHABI~1.JS라는 명령어가 실행되는 것도 확인됐다. 이를 통해 굿킷 다음의 페이로드를 다운로드 받아 실행하려는 것으로 분석됐다. 하지만 이번 캠페인에서 이 추가 페이로드가 발견되지는 않았다. 따라서 소포스는 기존 굿로더가 그랬듯 코발트스트라이크나 랜섬웨어가 마지막에 다운로드 되는 것으로 추정하고 있다.
“굿로더의 운영자들은 2020년부터 검색 결과를 조직하는 방식으로 피해자들을 속여 왔습니다. 이 방법은 매우 효과적으로, 라쿤스틸러(Raccoon Stealer)라는 정보 탈취 멀웨어의 운영자들 역시 이를 차용하기 시작했습니다. 그 외에도 여러 조직들이 이를 시도하고 있다는 게 이번 해에 여러 차례 발견됐습니다. 앞으로도 공격자들 사이에서 검색 결과 조직 시도가 더 빈번히 있을 것으로 예상됩니다.”
한편 공격자들이 왜 유독 호주의 벵갈고양이 애호가들을 노렸는지는 아직 확실히 알려져 있지 않다. 그런 계층의 사람들을 노릴만한 특별한 이유도 밝혀진 바가 없다. 소포스는 “굿로더 운영자들은 늘 새로운 검색어를 미끼로 사용한다”며 “이번 ‘호주’나 ‘벵갈고양이’도 무작위로 결정된 것이지, 특별한 이유가 없을 공산이 크다”고 설명한다.
3줄 요약
1. 호주에서 벵갈고양이를 기르는 방법을 검색하면 피싱 공격에 당할 수 있음.
2. 굿로더라는 멀웨어 운영자들이 최근 호주와 벵갈고양이를 미끼로 활용하고 있기 때문.
3. 이 캠페인의 최종 페이로드는 아직 발견되지 않았지만 랜섬웨어일 가능성이 높음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 수많은 애호가들을 거느리고 있는 고양이라는 동물이 최근 꽤나 독특한 피싱 공격의 재료로서 활용됐다. 굿로더(GootLoader)를 사용하는 운영자들이 벵갈고양이를 미끼로 활용한 건데, 호주에서 벵갈고양이와 관련된 내용을 검색하던 사용자들이라면 이들의 피싱 공격에 당했을 가능성이 있다고 한다.
[이미지 = gettyimagesbank]
굿로더는 일종의 다운로더 형 멀웨어로, 레빌(REvil) 랜섬웨어 조직과 굿킷(Gootkit) 뱅킹 멀웨어 운영자들이 곧잘 활용했었다. 그 인기에 힘입어 굿로더는 꾸준한 업그레이드를 거쳐왔고, 현재는 초기 접근 브로커(IAB)들이 사업 아이템으로 즐겨 활용하는 플랫폼으로 자리를 잡았다. 정보 탈취 기능을 가지고 있는 것은 물론 추가 악성 코드 심기와 같은 ‘후속 공격’도 가능하다.
굿로더는 검색엔진의 검색 결과를 조작하는 방식으로 최초 감염을 시도하는 편이다. 피해자가 뭔가를 검색했을 때 나오는 결과를 공격자들이 조작함으로써 잘못된 클릭을 유도하는 건데, 보통 피해자들은 악성 페이로드가 호스팅되어 있는 사이트에 접속하게 된다. 굿로더는 피해자의 시스템에 안착한 뒤 추가 멀웨어를 설치하는데, 예전에는 주로 굿킷이 활용됐다. 굿킷을 통해 공격자는 피해자의 시스템에 지속적으로 접근할 수 있게 된다. 이 굿킷은 다음으로 랜섬웨어나 코발트스트라이크와 같은 세 번째 페이로드를 피해자 시스템에 설치한다.
보안 업체 소포스(Sophos)에 의하면 이런 식의 굿로더 캠페인을 올해 발견했다고 한다. 재미있는 건 공격자들이 “호주에서 벵갈고양이를 합법적으로 기르는 법”과 관련된 내용을 검색하는 사람들을 노렸다는 것이다. “공격자들은 특정 검색어에 대한 검색결과 순위를 변경해 피해자들이 악성 사이트에 접속하도록 하고, 그런 사이트들에서 자바스크립트를 기반으로 한 굿로더 패키지를 배포했습니다.” 패키지의 이름은 Are_bengal_cats_legal_in_australia_33924.zip이었고, 시스템 다운로드 폴더에 다운로드 됐다.
이 파일을 분석했더니 피해자 시스템 내 RoamingMicrosoft라는 폴더에 자바스크립트 파일을 생성하는 것으로 확인됐다. 이 자바스크립트 파일은 생성될 때마다 %temp% 디렉토리 내에 다른 이름으로 저장됐다. 예를 들어 Temp1_Are_bengal_cats_legal_in_australia_33924.zip이나 are_bengal_cats_legal_in_australia_80872.js 따위였다.
동시에 “Business Aviation”이라는 작업을 예약하고, 이 작업이 실행될 때마다 wscript REHABI~1.JS라는 명령어가 실행되는 것도 확인됐다. 이를 통해 굿킷 다음의 페이로드를 다운로드 받아 실행하려는 것으로 분석됐다. 하지만 이번 캠페인에서 이 추가 페이로드가 발견되지는 않았다. 따라서 소포스는 기존 굿로더가 그랬듯 코발트스트라이크나 랜섬웨어가 마지막에 다운로드 되는 것으로 추정하고 있다.
“굿로더의 운영자들은 2020년부터 검색 결과를 조직하는 방식으로 피해자들을 속여 왔습니다. 이 방법은 매우 효과적으로, 라쿤스틸러(Raccoon Stealer)라는 정보 탈취 멀웨어의 운영자들 역시 이를 차용하기 시작했습니다. 그 외에도 여러 조직들이 이를 시도하고 있다는 게 이번 해에 여러 차례 발견됐습니다. 앞으로도 공격자들 사이에서 검색 결과 조직 시도가 더 빈번히 있을 것으로 예상됩니다.”
한편 공격자들이 왜 유독 호주의 벵갈고양이 애호가들을 노렸는지는 아직 확실히 알려져 있지 않다. 그런 계층의 사람들을 노릴만한 특별한 이유도 밝혀진 바가 없다. 소포스는 “굿로더 운영자들은 늘 새로운 검색어를 미끼로 사용한다”며 “이번 ‘호주’나 ‘벵갈고양이’도 무작위로 결정된 것이지, 특별한 이유가 없을 공산이 크다”고 설명한다.
3줄 요약
1. 호주에서 벵갈고양이를 기르는 방법을 검색하면 피싱 공격에 당할 수 있음.
2. 굿로더라는 멀웨어 운영자들이 최근 호주와 벵갈고양이를 미끼로 활용하고 있기 때문.
3. 이 캠페인의 최종 페이로드는 아직 발견되지 않았지만 랜섬웨어일 가능성이 높음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
