다크유니버스, 공격 직전에 멀웨어 샘플 만들어내는 독특한 그룹

입력 : 2019-11-07 08:52

셰도우브로커스가 2017년 유출한 문서 속에서도 드러난 해킹 단체
여러 모듈 보유하고 있어, 공격 대상에 따라 다양하게 조합...공격 직전에 샘플 만드는 듯

[보안뉴스 문가용 기자] 최소 8년 동안 활동해왔던 해킹 단체 하나가 새로운 멀웨어 샘플을 만들어내고 있는 것으로 나타났다. 재미있는 건, 피해자들에게 멀웨어를 심기 직전에 샘플을 만들어낸다는 것이다.


문제의 조직은 다크유니버스(DarkUniverse)라고 알려져 있으며, 2017년 유출된 셰도우브로커스(ShadowBrokers)의 문건에서도 그 정체가 드러나고 있다. 이 스크립트는 다른 APT 공격자들의 흔적을 찾아내는 기능을 가지고 있다.

코드 유사성 측면에서 봤을 때 해커들은 2013년 처음으로 공개된 이타듀크(ItaDuke)라는 해킹 조직의 일부인 것으로 보인다고 카스퍼스키는 설명한다. “다크유니버스는 2009년부터 2017년 사이에 활발히 활동한 것으로 보입니다. 멀웨어도 여러 차례 바뀌었는데, 최신 버전의 경우 직전 버전과 완전히 다릅니다.”

멀웨어는 스피어피싱 이메일을 통해 피해자들로 퍼지고 있다. 즉, 공격 표적이 되는 사람들에게 맞춤형으로 제작된 이메일을 보낸다는 것이다. 피해자들이 여기에 속아 악성 첨부파일을 오피스 프로그램으로 열게 되면 공격이 시작된다.

“오피스 문서에는 악성 실행파일이 임베드 되어 있습니다. 문서가 열림과 동시에 이 파일이 실행되죠. 두 개의 파일을 피해자의 시스템에 추가로 드롭시키는 것부터 악성 행위가 시작됩니다.” 카스퍼스키 측의 설명이다.

두 개의 파일은 다음과 같다.
1) updater.mod : 동적 링크 라이브러리로서 심겨지며, 단 한 개의 엑스포트 된 함수를 포함하고 있다. C&C 서버와의 통신을 담당한다.
2) glue30.dll : 키로깅 기능을 가지고 있는 모듈이다.
멀웨어는 시작 프로그램 폴더에 링크 파일도 하나 심어둠으로써, 공격 지속성을 확보하기도 한다.

다크유니버스가 펼친 공격 캠페인 중 하나에서 C&C 서버는 mydrive.ch라는 주소의 클라우드 스토리지에 마련되어 있기도 했다. 피해자에 따라 계정이 개별적으로 생성되어 있기도 했다. 이 계정들에는 필요에 따른 추가 모듈과 설정파일이 저장되어 있었다.

“공격이 시작되면 update.mod 모듈은 명령 파일과 추가 모듈을 서버로부터 가져오고, 피해자의 시스템에서 수집한 파일을 업로드 합니다. 암호화 되지 않은 POP3 트래픽을 중간에 가로챔으로써 피해자의 이메일을 들여다보게 해주는 모듈도 있습니다. 이메일 계정의 크리덴셜을 훔치는 경우도 있었습니다.”

그 외에도 스크린샷 캡처, 셸코드 주입, 네트워크 스캐닝 실시 및 중단, IP 범위에 대한 브루트포스 공격, 모듈 업데이트, 시스템 정보 수집, 특정 프로세스 실행, 특정 디렉토리 내 파일 목록 작성, 파일 전송, 파일 다운로드, 시스템의 DHCP 및 DNS 변경, 자가 언인스톨 등의 명령이 서버로부터 전송되는 것으로 밝혀졌다.

다른 멀웨어 샘플들을 분석했을 때는 더 많은 기능이 추가로 등장하기도 했다.
1) 레지스트리 정보 수집
2) 프로세스 주입
3) 중간자 공격 제공
4) 아웃룩, 인터넷 익스플로러, 윈도우 메일, 윈도우 라이브 메일, 윈도우 라이브 메신저, 인터넷 캐시 등으로부터 크리덴셜 수집 및 복호화

카스퍼스키에 의하면 공격자들은 피해자들에 따라 이런 기능들을 가진 모듈을 조합해 멀웨어 샘플을 만들어 가면서 공격을 실시하고 있다고 한다. “현재까지 파악한 바, 약 20개의 민간 및 군사 조직이 공격에 당했습니다. 시리아, 이란, 아프가니스탄, 탄자니아, 에티오피아, 수단, 러시아, 벨라루스, UAE에서 피해가 주로 발생했습니다.”

“코드가 고유한 부분에서 상당 부분 겹치는 것으로 보아 다크유니버스는 과거의 이타듀크와 관련이 있는 것으로 생각됩니다. 확신까지는 아니지만 어느 정도 자신하고 있습니다. 그 동안 잠잠했던 건 셰도우브로커스의 문건 유출 때 존재가 드러났기 때문일 거라고 추측합니다. 아니면 다른 해커들이 그렇듯, 잠시 무기와 공격 전략을 재정비했을 수도 있고요.”

3줄 요약
1. 다크유니버스라는 조직의 공격 흔적이 발견됨.
2. 고도의 개인화 및 모듈화가 특징. 대상에 따라 다양한 모듈을 조합해 공격.
3. 과거에 정체가 드러난 이타듀크라는 해킹 조직과 관련이 있어 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북 해커 조직 APT43, 드롭박스 악용한 ...

• 2

  SW 공급망 보안 가이드라인 1.0 발표.....

• 3

  청년 목돈마련 돕는 홈페이지 사칭한 피싱 사...

• 4

  2024년 3월 악성코드 공격 동향 분석해보...

• 5

  독일 사이버 보안시장, 역동적인 투자로 성장...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 3

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 4

  주식투자 정보사이트 ‘아이투자’, 해킹으로 ...

• 5

  웰시투자그룹, 자사 사칭 금전 사기 피해 주...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...