모듈 구성으로 유명한 스모크로더가 대만 기업들을 공격하는 중이라고 한다. 아직 피해가 크지는 않은 것 같은데, 스모크로더의 끈질긴 생명력에 보안 전문가들이 경악을 금치 못하고 있다. 죽지 않을 것 같은 멀웨어다.

[보안뉴스 문정후 기자] 악명 높은 멀웨어인 스모크로더(SmokeLoader)가 다시 모습을 드러냈다. 활동을 시작한 지 오래된 멀웨어인데다가, 바로 얼마 전 국제 공조로 무력화된 바 있어 다시는 보지 않아도 될 것처럼 여겨졌는데 오산이었다. 어느 덧 태연히 다시 나타나 공격을 시작하고 있었다. 현재까지 다시 나타난 스모크로더에 당하고 있는 건 대만의 기업들인 것으로 분석되고 있다. 보안 업체 포티넷(Fortinet)이 이에 대해 상세히 설명했다.


[이미지 = gettyimagesbank]

공격은 피싱으로부터 시작한다. 견적서라는 이름의 파일이 첨부되어 있는 이메일인데, 대만 현지어로 작성되긴 했으나 어설픈 점이 없지 않고, 여러 사람에게 같은 메일이 갔기 때문에 피싱 공격에 대한 식별이 어렵지는 않다. 심지어 수신자를 여러 회사로 설정해 놓았기 때문에 뭔가 이상하다는 걸 눈치 챌 수 있다. 이메일 본문의 글꼴도 여러 가지이기 때문에 공식 문건과는 거리가 멀어 보인다는 특징도 가지고 있다.

“그 다음 공격자는 VBS 파일을 사용하여 앤드로더(AndeLoader)라고 하는 악성 코드 로더를 실행합니다. 그리고 이 앤드로더는 최종 페이로드를 다운로드 받아 실행하는데, 이게 바로 스모크로더입니다.” 포티넷의 설명이다.

이 캠페인을 위해 공격자들이 익스플로잇 하는 취약점은 두 가지로 정리가 된다.
1) CVE-2017-0199 : 마이크로소프트 오피스의 취약점으로, 피해자가 특정 파일을 열면 악성 문서가 자동으로 다운로드 되도록 만들 수 있다.
2) CVE-2017-11882 : 마이크로소프트 오피스 내 방정식 편집기에서 발생하는 원격 코드 실행 취약점으로, 다음 공격 단계에서 사용될 VBS 파일을 다운로드 하기 위해 익스플로잇 된다.

두 가지 로더
처음 설치되는 앤드로더는 일종의 VBS 파일로, 난독화 된 파워셸 코드가 포함되어 있다. 이 파워셸은 스테가노그래피 공격에 필요한 이미지를 다운로드 하고, 그 이미지로부터 인코딩 데이터를 추출하는 기능을 수행한다. 그런 다음에는 해당 데이터를 디코딩 하는데, 그렇게 했을 때 코드를 주입하는 도구와 스모크로더와 관련된 데이터가 등장한다.

코드 주입 도구의 경우 두 가지 기능을 가지고 있다. “하나는 공격 지속성을 확보하는 것으로, cmd.exe으 현재 작업 경로에 있는 모든 VBS 파일을 결합하여 새로운 VBS 파일을 생성하고 이를 시스템 시작 시 자동 실행되도록 레지스트리 키에 추가하는 방식을 사용합니다. 그 다음은 텍스트 파일 하나를 다운로드 하여 데이터를 난독화 한 후 스모크로더를 RegAsm.exe라는 프로세스에 주입합니다. 그렇게 하여 스모크로더가 실행되면 앤드로더의 역할을 끝납니다.”

그 다음 스모크로더가 활동을 시작하게 되는데, 이번에 발견된 스모크로더는 본래 스모크로더가 가진 강점을 고스란히 승계하고 있다고 포티넷은 설명한다. “스모크로더는 원래부터 모듈 방식으로 구성되어 있어 유연함을 자랑하던 멀웨어였습니다. 이번에 등장한 스모크로더도 비슷합니다. 대신 모듈이 아니라 9가지나 되는 플러그인을 통해 악성 기능을 수행하고 있었습니다.”

포티넷에서 찾아낸 플러그인은 다음과 같다.
1) 플러그인 1 : 브라우저, 이메일 소프트웨어, FTP 클라이언트에서 로그인 크리덴셜, 쿠키, 자동 완성 데이터를 탈취한다.
2) 플러그인 2 : 파이어폭스와 선더버드에서 로그인 크리덴셜을 탈취한다.
3) 플러그인 3 : 이메일 소프트웨어에서 데이터를 읽어들인다.
4) 플러그인 4 : 브라우저에 코드를 주입하고 데이터를 탈취한다.
5) 플러그인 5 : 플러그인 4의 64비트 버전이다.
6) 플러그인 6 : 이메일 소프트웨어, 브라우저, FTP 클라이언트에 코드를 주입하고 데이터를 탈취한다.
7) 플러그인 7 : 플러그인 6의 64비트 버전
8) 플러그인 8 : explorer.exe 또는 C2 서버에서 지정한 프로세스에 코드를 주입하고 데이터를 탈취한다.
9) 플러그인 9 : 플러그인 8의 64비트 버전

“스모크로더는 모듈형 설계를 통해 다양한 요구에 적응할 수 있는 악성 코드입니다. 이번 캠페인에서 스모크로더는 플러그인을 활용해 공격을 수행했으며, 파일을 디스크에 다운로드 하지 않았습니다. 그러므로 스모크로더가 아무리 유명하며, 잘 알려진 멀웨어라고 해도 기존의 방식으로는 탐지가 어렵습니다. 스모크로더가 얼마나 유연하게 감시망을 피해가는지를 드러내는 사례입니다. 그렇기 때문에 오랜 시간 공격자들의 사랑을 받고, 무력화 시도에도 살아남는 것이겠죠.” 포티넷의 설명이다.

한편 스모크로더의 배후에 있는 자들이 왜 대만을 공격하는지는 아직 정확히 알려지지 않고 있다.

스모크로더는 엔드게임작전(Operation Endgame)이라는 국제 공조 활동을 통해 큰 타격을 입은 바 있다. 2024년 5월에 진행된 이 작전을 통해 스모크로더만이 아니라 아이스드아이디(IcedID)나 시스템비씨(SystemBC), 피카봇(PikaBot), 범블비(BumbleBee), 트릭봇(TrickBot) 등의 유명 멀웨어들도 전부 운영이 중단됐었다. 현재 활동을 재개한 건 스모크로더가 유일하다. 보안 업체 지스케일러(Zscaler)는 스모크로더의 다양한 변종들이 이미 인터넷이 떠돌아다니고 있기 때문에 완전한 박멸은 어려울 것이라고 보고 있다.

“스모크로더와 같은 멀웨어는 일반 기업들이 자체적인 힘으로 방어하기는 힘듭니다. 워낙 변종도 많고 끊임없이 변하며, 모듈과 플러그인 등을 통해 자유자재로 변하기 때문입니다. 스모크로더와 같은 멀웨어를 지속적으로 모니터링하는 전문 서비스의 힘을 빌리는 편이 낫습니다.”

3줄 요약
1. 5월에 무력화 된 줄 알았던 스모크로더, 어느 덧 되살아나 대만을 공격.
2. 원래 모듈 구성으로 유명했던 스모크로더, 이번엔 9개 플러그인으로 공격 실시.
3. 혼자 막을 생각하지 말고 전문 보안 서비스의 힘을 빌리는 게 안전.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>