3줄 요약
1. 남미 외교 시설에서 발견된 새 멀웨어, 파이널드래프트.
2. 피해자의 ‘작성 중 메일’이 C&C 기능 담당.
3. 동남아로 확산되는 조짐.
[보안뉴스 문가용 기자] 아웃룩 이메일 애플리케이션의 ‘작성 중 메일’ 혹은 ‘메일 임시 저장’ 기능을 공격명령(C&C) 서버로 활용하는 멀웨어 파이널드래프트(FinalDraft)가 처음 등장했다. 이런 수법 덕에 공격자는 데이터 탈취와 프록싱, 프로세스 주입, 횡적 이동 등의 악성 행위를 흔적 없이 할 수 있게 된다. 이미 남아메리카의 한 정부 기관이 피해를 입은 것으로 조사됐다.
[자료: gettyimagesbank]
공격 과정
보안 업체 엘라스틱시큐리티(Elastic Security)가 상세히 밝힌 내용에 따르면 공격은 패스로더(PathLoader)부터 시작된다. 일종의 로더이며, 저용량 실행파일 형태로 피해자 시스템에 심긴다. 피해자가 실행시키면 셸코드가 발동되면서 공격자 서버로부터 추가 멀웨어나 페이로드를 가져온다. 여기에 파이널드래프트가 포함된다.
패스로더는 API 해싱과 문자열 암호화 기법으로 보호돼 있어 정적 분석으로 탐지되지 않는다. 파이널드래프트까지 이어지는 공격을 중단시키기 힘들다. 무사히 설치된 파이널드래프트는 정보 탈취와 프로세스 주입을 실시한다. 그런 후 MS그래프(MS Graph) API를 통해 공격자 서버와의 통신 채널을 개설한다. 여기서부터 멀웨어-서버 간 통신은 아웃룩 ‘작성 중 메일’을 통해 이뤄진다.
엘라스틱시큐리티는 보고서를 통해 “파이널드래프트가 정상 이메일이 아니라 ‘작성 중 메일’을 이용하기 때문에 탐지를 피해갈 확률이 높고, 악성 트래픽임에도 MS 365 정상 트래픽 속에 녹아들 수 있다”고 설명한다. 그러면서 “실행할 수 있는 명령은 총 37개로 다양한 편”이라고 덧붙였다. 공격자들은 이 37개 명령어들을 상황에 따라 내보냄으로써 원하는 공격을 실시할 수 있게 된다.
리눅스용 변종
연구원들은 윈도에서 실행되는 파이널드래프트를 추적하다가 리눅스용 변종도 찾아냈다. 다른 환경에서 작동하지만 여전히 아웃룩을 공격에 악용한다. 다만 컨버팅 작업을 한 게 아니라 레스트 API(REST API)와 그래프 API(Graph API), HTTP/HTTPS, 리버스 UDP(reverse UDP) 등의 도움을 받는다고 엘라스틱 측은 밝혔다.
“원래 윈도용 멀웨어인 것을 각종 기술을 조합하고 응용함으로써 리눅스용 버전으로 바꿔 쓸 수 있다는 건 배후에 상당히 개발 실력 좋은 자들이 있다는 의미입니다. 다만 그 실력에 어울리지 않게 운영에서 실수를 저질렀고, 이 때문에 스스로를 노출시키게 됐습니다.” 엘라스틱 측의 설명이다.
현재까지 발견된 피해자는 남미의 한 외교 기관이지만, 공격 인프라 자체서 동남아 조직들과 관련 있는 증거들이 나오기도 했다. 공격자들이 보다 많은 피해를 일으켰거나, 그럴 목표로 움직이고 있음을 시사한다.
엘라스틱은 이번 캠페인 자체에 레프7707(REF7707)이라는 이름을 붙여 추적을 이어가고 있다며 “그래프 API를 실제 공격에 활용한 첫 번째 사례라 주의 깊게 살펴야 한다”고 강조했다. 조기 탐지와 피해 예방을 위해 야라 규칙을 자사 웹사이트와 깃허브를 통해 공개했다.
공격의 상세 절차와 파이널드래프트 기술 분석 내용, 야라 규칙 등은 이번 주 20일 발행되는 프리미엄 리포트를 통해 열람 가능합니다.
[국제부 문가용 기자(globoan@boannews.com)]
1. 남미 외교 시설에서 발견된 새 멀웨어, 파이널드래프트.
2. 피해자의 ‘작성 중 메일’이 C&C 기능 담당.
3. 동남아로 확산되는 조짐.
[보안뉴스 문가용 기자] 아웃룩 이메일 애플리케이션의 ‘작성 중 메일’ 혹은 ‘메일 임시 저장’ 기능을 공격명령(C&C) 서버로 활용하는 멀웨어 파이널드래프트(FinalDraft)가 처음 등장했다. 이런 수법 덕에 공격자는 데이터 탈취와 프록싱, 프로세스 주입, 횡적 이동 등의 악성 행위를 흔적 없이 할 수 있게 된다. 이미 남아메리카의 한 정부 기관이 피해를 입은 것으로 조사됐다.
[자료: gettyimagesbank]
공격 과정
보안 업체 엘라스틱시큐리티(Elastic Security)가 상세히 밝힌 내용에 따르면 공격은 패스로더(PathLoader)부터 시작된다. 일종의 로더이며, 저용량 실행파일 형태로 피해자 시스템에 심긴다. 피해자가 실행시키면 셸코드가 발동되면서 공격자 서버로부터 추가 멀웨어나 페이로드를 가져온다. 여기에 파이널드래프트가 포함된다.
패스로더는 API 해싱과 문자열 암호화 기법으로 보호돼 있어 정적 분석으로 탐지되지 않는다. 파이널드래프트까지 이어지는 공격을 중단시키기 힘들다. 무사히 설치된 파이널드래프트는 정보 탈취와 프로세스 주입을 실시한다. 그런 후 MS그래프(MS Graph) API를 통해 공격자 서버와의 통신 채널을 개설한다. 여기서부터 멀웨어-서버 간 통신은 아웃룩 ‘작성 중 메일’을 통해 이뤄진다.
엘라스틱시큐리티는 보고서를 통해 “파이널드래프트가 정상 이메일이 아니라 ‘작성 중 메일’을 이용하기 때문에 탐지를 피해갈 확률이 높고, 악성 트래픽임에도 MS 365 정상 트래픽 속에 녹아들 수 있다”고 설명한다. 그러면서 “실행할 수 있는 명령은 총 37개로 다양한 편”이라고 덧붙였다. 공격자들은 이 37개 명령어들을 상황에 따라 내보냄으로써 원하는 공격을 실시할 수 있게 된다.
리눅스용 변종
연구원들은 윈도에서 실행되는 파이널드래프트를 추적하다가 리눅스용 변종도 찾아냈다. 다른 환경에서 작동하지만 여전히 아웃룩을 공격에 악용한다. 다만 컨버팅 작업을 한 게 아니라 레스트 API(REST API)와 그래프 API(Graph API), HTTP/HTTPS, 리버스 UDP(reverse UDP) 등의 도움을 받는다고 엘라스틱 측은 밝혔다.
“원래 윈도용 멀웨어인 것을 각종 기술을 조합하고 응용함으로써 리눅스용 버전으로 바꿔 쓸 수 있다는 건 배후에 상당히 개발 실력 좋은 자들이 있다는 의미입니다. 다만 그 실력에 어울리지 않게 운영에서 실수를 저질렀고, 이 때문에 스스로를 노출시키게 됐습니다.” 엘라스틱 측의 설명이다.
현재까지 발견된 피해자는 남미의 한 외교 기관이지만, 공격 인프라 자체서 동남아 조직들과 관련 있는 증거들이 나오기도 했다. 공격자들이 보다 많은 피해를 일으켰거나, 그럴 목표로 움직이고 있음을 시사한다.
엘라스틱은 이번 캠페인 자체에 레프7707(REF7707)이라는 이름을 붙여 추적을 이어가고 있다며 “그래프 API를 실제 공격에 활용한 첫 번째 사례라 주의 깊게 살펴야 한다”고 강조했다. 조기 탐지와 피해 예방을 위해 야라 규칙을 자사 웹사이트와 깃허브를 통해 공개했다.
공격의 상세 절차와 파이널드래프트 기술 분석 내용, 야라 규칙 등은 이번 주 20일 발행되는 프리미엄 리포트를 통해 열람 가능합니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
