Home > 전체기사
랜섬웨어나 비밀번호 탈취 공격 하는 퀀트 로더 확산 중
  |  입력 : 2018-04-12 17:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
여러 가지 방법 동원한 자잘한 공격으로 구성된 캠페인
최종 페이로드는 퀀트 로더...스크립트 언어 활용, 현재 대유행


[보안뉴스 문가용 기자] 피싱 및 소셜 엔지니어링, 취약점 익스플로잇과 난독화를 모두 동원한 공격이 최근 급증하고 있다. 이러한 공격들을 통해 퍼지고 있는 트로이목마가 하나 있는데, 바로 퀀트 로더(Quant Loader)라고 한다. 퀀트 로드는 최초 침입 이후 랜섬웨어 공격이나 비밀번호 탈취 공격을 실시한다.


이는 보안 업체 바라쿠다(Barracuda)가 발표한 것으로, 바라쿠다의 보안 전문가들은 지난 달부터 이러한 공격의 사례들을 발견해 추적해왔다고 한다. “퀀트 로더를 심기 위한 공격은 악성 zip 파일을 동반하는데, 이 압축파일 안에는 확장자가 .url인 MS 인터넷 바로가기 파일들이 들어있습니다. 또한 계산서와 관련된 파일들이라고 피해자들을 속이고 있죠. 하지만 해당 파일들을 클릭하는 순간 원격 스크립트 파일에 접근하게 됩니다.”

공격자들이 활용하는 건 CVE-2016-3353 취약점을 익스플로잇하는 개념증명 도구의 변종으로, 자바스크립트 파일 혹은 윈도우 스크립트 파일에 연결된 링크를 포함하고 있다. 또한 엄청나게 난독화 처리되어 있어 추적이나 탐지 모두 쉽지 않다. 하지만 다양한 난독화 기능 및 복잡한 다운로드 절차의 가장 마지막에는 반드시 퀀트 로더가 피해자의 시스템에 들어가도록 되어 있다.

바라쿠다는 제일 처음 굉장히 작은 규모의 캠페인들이 연쇄적으로 일어나는 것을 발견했다고 한다. “캠페인들이 하루 이상을 가지 않았어요. 도메인도 딱 한 개씩만 사용했었고요. 이 도메인들에는 악성 스크립트 파일과 퀀트 로더의 변종이 호스팅 되어 있었습니다.” 제목 외에는 아무 내용이 없는 이메일에 파일이 첨부된 공격 형태가 발견되기도 했다.

보안 업체 재스크(JASK)의 책임자인 로드 소토(Rod Soto)는 “최근 악성 공격들은 스크립트 언어들을 자주 동반하는 모습을 보여주고, 이번에 발견된 퀀트 로더 공격 역시 마찬가지”라고 말한다. “결국 이 스크립트 언어들을 가지고 익스플로잇을 실행하고 감염에 필요한 페이로드를 피해자 기기에서 실행시킴으로서 브라우저의 표준 보호 장치를 우회하는 것이 핵심입니다.”

스크립트 언어들은 일반적으로 운영 체제가 안전한 것으로 받아들인다고 로드 소토는 설명을 잇는다. “그러므로 실제 파일들보다 덜 위험한 것으로 사용자들 사이에서 받아들여지기도 하죠. 또한 악성 여부를 분석하기 위해서는 실제 코드를 깊숙하게 들여다 보기도 해야 합니다. 이런 방식의 공격이 인기를 끄는 이유가 있습니다.”

소토는 “스크립트 언어를 활용한 최근의 공격 유형도 일종의 파일레스 공격이라고 봐야 한다”고 경고하기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)