Home > 전체기사
중동 지방에서 클라우드를 공격 인프라로 둔갑시키는 새로운 RAT 출현
  |  입력 : 2020-01-22 16:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
파이선을 기반으로 한 새 RAT...악성 오피스 문서 통해 아랍어권에서 퍼지고 있어
각종 탐지 우회 기능도 갖췄지만, 무엇보다 여러 클라우드 서비스 활용하는 것 눈에 띄어


[보안뉴스 문가용 기자] 새로운 원격 접근 트로이목마(RAT)가 나타났다. 이름은 제이혼랫(JhoneRAT)으로, 2019년 11월부터 활발하게 퍼지는 중이라고 한다. 피해자의 컴퓨터에서 각종 정보를 수집하고 빼돌리거나, 추가 페이로드를 가져와 심는 역할을 수행하며, 주로 중동 지방에서 발견되고 있다.

[이미지 = iclickart]


여러 가지 자료를 보건데 제이혼랫 배후에 있는 공격자들은 아랍어를 사용하는 자들에게만 공격이 성립되도록 노력을 기울인 것이 분명하다고 시스코 탈로스 팀의 보안 전문가들은 분석한다. 또한 구글 드라이브(Google Drive)나 구글 폼즈(Google Forms)와 같은 유명 클라우드 서비스들을 활용해 페이로드를 퍼트리는 것도 특이한 점이라고 짚는다.

“제이혼랫은 공격자들이 직접 개발한 공격 도구로 보이며, 클라우드 서비스까지 활용해 다단계로 진행되는 캠페인에서 활용되고 있습니다. 제이혼랫 자체는 파이선으로 개발됐으며, 널리 공개된 소스코드를 기반으로 하고 있습니다. 공개된 소스코드를 가지고 파이선에서 멀웨어를 개발하는 건 흔히 있는 일입니다. 특이한 건 공격자들이 키보드 레이아웃과 같은 정보를 수집해 공격 대상을 조심스럽게 골라냈다는 것입니다.” 탈로스 측의 설명이다.

제이혼랫은 주로 악성 마이크로소프트 오피스 문서를 통해 퍼진다고 한다. 현재까지 탈로스 팀에서 발견한 악성 문서는 크게 세 가지라고 한다.
1) Urgent.docx : 2019년 11월부터 사용되어 온, 이번 캠페인에서 가장 오래된 미끼 문서.
2) fb.docx : 1월 초부터 등장한 문서로, 페이스북 사용자들의 이름과 비밀번호가 저장되어 있는 것처럼 꾸며져 있다.
3) 가장 최근에 발견된 문서는 UAE의 공공 기관에서 보낸 것처럼 만들어져 있으며 1월 중순부터 사용된 것으로 보인다.

문서들을 열면 글씨가 흐릿하거나 깨져서 보이고, ‘편집 가능한 모드’로 전환해야 된다는 메시지가 뜬다. 그래서 피해자가 편집 기능을 활성화 하면, 이 문서들은 구글 드라이브로부터 추가 문서를 다운로드 받기 시작하는데, 여기에는 악성 매크로가 심겨져 있다. “공격자들이 클라우드를 사용하는 건, 탐지 가능성을 최소화 하기 위해서입니다. 클라우드 인프라는 HTTPS를 사용하기 때문에 악성 트래픽을 숨기기에 용이합니다.”

공격자들은 이 시점에서 다시 한 번 구글 드라이브를 사용한다. 새로운 구글 드라이브 링크를 통해 악성 이미지 파일을 다운로드 받도록 하는데, 파일의 이름은 cartoo.jpg, img.jpg, photo.jpg 중 하나라고 한다. 실제 화면에서는 만화가 나타난다. “이 이미지를 통해 시스템에는 오토아이티(AutoIT)라는 바이너리가 심깁니다. 이 바이너리는 구글 드라이브에서 새로운 파일을 더 받는데, 이것이 바로 최종 페이로드인 제이혼랫입니다.”

제이혼랫은 심기자 마자 다음 세 가지 기능을 수행한다.
1) 시스템의 키보드 레이아웃이 지정된 것과 동일한지 확인한다. 이를 통해 아랍어 구사자의 컴퓨터가 감염됐는지를 살핀다.
2) 공격 지속성 확보를 위한 작업을 실시한다.
3) 데이터 수집과 유출 등 RAT의 기본적인 기능을 시작한다.

데이터를 외부로 유출시킬 때도 클라우드 서비스가 활용된다. “예를 들어 스크린샷과 같은 이미지 정보를 전송할 때는 이미지비비(ImageBB)라는 이미지 호스팅 서비스를 활용합니다. 명령어를 전송할 때는 구글 폼즈에 게시된 데이터를 쓰고, 파일을 보낼 때는 구글 드라이브를 주로 사용합니다.”

제이혼랫의 C&C로서 활용되는 클라우드 서비스는 세 가지다. 그 중 트위터는 새로운 명령을 받는 용도로 활용된다. “@jhone87438316이라는 계정에 새로운 명령어가 업로드 됩니다. 제이혼랫은 이 계정을 10초에 한 번씩 확인하도록 구성되어 있습니다. 현재 이 계정은 트위터가 정지시킨 상태입니다.”
그 외에도 제이혼랫에는 탐지 회피를 위한 다른 기술들도 장착되어 있다. “매크로에는 가상 기계 탐지 기술이 탑재되어 있습니다. 디스크의 일련번호를 확인하는 원리입니다. 여기에 더해 분석 방해 및 샌드박스 탐지 기능도 가지고 있습니다. 키보드 레이아웃을 확인하는 것도 이러한 노력의 일환이라고 볼 수 있습니다.”

문제는 이 캠페인이 아직도 진행 중이라는 것이다. “일부 구글 계정을 삭제하는 등 이 공격을 무력화시키려는 노력을 한 상태입니다만, 공격자들 입장에서 새로운 계정을 만드는 게 그리 어려운 일이 아닙니다. 인프라 전환이 쉽다는 것이죠. 이러한 공격을 막기 위해서는 네트워크 기반 탐지 솔루션에 행동 패터 분석 솔루션까지 더해야 합니다.”

3줄 요약
1. 중동 지역에서 정보 수집 및 정찰을 위주로 하는 공격 캠페인 발견됨.
2. 공격자들은 제이혼랫이라는 RAT 도구 직접 제작해 활용하고 있음.
3. 이 공격의 또 다른 특징은 클라우드 서비스가 활발하게 악용되고 있다는 것임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)