세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
사이버 범죄자들의 툴 선호 기준 : 값싸고 빠른 것
  |  입력 : 2018-04-26 17:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
일반적인 루벨라 매크로 빌더, 등장하자마자 큰 인기 누려
MS 오피스 문건, 피싱 공격에 가장 많이 활용되기 시작


[보안뉴스 문가용 기자] 사이버 범죄자들도 제품을 고르는 기준은 일반인들과 크게 다르지 않다. ‘싸고’ ‘빠른 것’이 ‘검증된’ ‘고급’ 툴보다 인기가 높다.

[이미지 = iclickart]


최근 발견된 크라임웨어 키트인 루벨라 매크로 빌더(Rubella Macro Builder) 역시 이러한 범주에 포함된다. 기능 그 자체로는 평범하며, 이제 막 범죄 시장에 나온 제품인데 인기가 급증하고 있는 건 싸고 빠르기 때문이다. 심지어 비교적 기술적 우위에 있는 것으로 알려진 러시아의 사이버 갱단들도 이 제품을 사용하기 시작했다고 한다.

보안 업체 플래시포인트(Flashpoint)는 이번 주 루벨라 매크로 빌더와 관련된 경보를 발령했다. 이 때 플래시포인트는 루벨라를 “일반 범죄자들이 MS 워드 문서와 엑셀 문서 형태로 페이로드를 만들 수 있게 해주는 툴”이라고 설명했다. “루벨라로 만든 멀웨어는 1단계 로더로서의 역할을 합니다. 이 로더는 추가로 멀웨어를 다운로드 받고 침해 기기에 설치하죠.” 플래시포인트의 연구 책임자인 비탈리 크레메즈(Vitali Kremez)의 설명이다.

루벨라 매크로 빌더가 세상에 나온 건 지난 2월의 일이다. 그리고 플래시포인트의 설명대로 1단계 로더로서 활용됐다. 특히 최근 팬더(Panda)라는 러시아 단체의 대규모 사이버 공격에서도 발견된 바 있다. 팬더는 소셜미디어 플랫폼에서 다양한 피해자들을 노리고 표적 공격을 실시한 것으로 밝혀졌다.

“결국 이 공격에서 루벨라가 사용된 경우 최종적으로는 팬더(Panda)의 뱅킹 멀웨어 2.6.6 버전과 굿킷(Gootkit) 뱅킹 멀웨어가 설치됐습니다.” 크레메즈의 설명이다. 팬더와 굿킷 모두 크리덴셜을 수집하고, 웹인젝트 기술로 브라우저를 감염시킨 후 원격 PC 제어가 가능하도록 만든다.

루벨라가 처음 등장한 2월, 가격은 한 달에 500달러로 비교적 낮았다. 그러더니 지금은 3개월에 150달러로 조금 떨어진 상태다. 하지만 기능은 오히려 늘어났다. 현재 루벨라는 XOR와 Base64라는 암호화 알고리즘을 호환하며, 파워셸, 마이크로소프트의 XMLHTTP, Bitsadmin은 물론 비주얼 베이직 스크립트와 자바스크립트를 동원한 다단계 페이로드 실행 옵션까지도 갖추고 있다.

루벨라 매크로 빌더는 그 자체로 취약점을 익스플로잇 하는 툴이 아니다. 소셜 엔지니어링 기술로 피해자가 악성 매크로를 실행하도록 만든다. MS 워드와 엑셀 형태의 첨부 파일로 퍼지는 것이 가장 일반적이며, 이 메일은 스팸 형태로 흩뿌려진다. 효과적인 난독화 기술도 갖추고 있어 기본적인 백신 툴도 어느 정도 비껴갈 수 있다.

“이러한 기능이 새롭거나 획기적인 건 아닙니다. 하지만 빠르고 금방 실시할 수 있게 해주고, 가격이 낮습니다. 이것 때문에 사이버 범죄자들 사이에서 선풍적인 인기를 끌고 있는 것이죠.”

루벨라는 쓰레드키트(ThreadKit)와도 유사하다. 이는 보다 고급형인 멀웨어 키트로, 보안 업체 프루프포인트(Proofpoint)가 지난 10월에 발견했다. 쓰레드키트 역시 MS 오피스 문건을 가지고 해킹 공격을 실시하게 해주는데, 훨씬 더 많은 고급 기능을 포함하고 있다. 쓰레드키트를 통해 여러 멀웨어 페이로드가 퍼졌다. 여기에는 로키봇(Loki Bot), 폼북(FormBook) 등이 있다. 사이버 범죄단인 코발트 갱(Cobalt Gang)이 쓰레드키트를 잘 활용한 것으로 알려져 있다.

플래시포인트는 “최근엔 확실히 MS 오피스 문서가 사이버 공격자들 사이에서 인기가 높은 것도 주목해야 할 부분”이라고 말한다. 또한 “값이 싼 멀웨어들도 기본적인 백신을 우회하기 시작했다는 것도 기업들이 유의해야 할 부분”이라고 강조한다. “범용되고 있는 MS 오피스 문건에, 기본 백신을 우회하니, 기업들로서는 보다 빈번한 침투에 노출된 것이나 마찬가지입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)