보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사 > 외신

폭발적인 스팸, “나 같이 일하던 아무갠데, 같이 일 해볼래?”

  |  입력 : 2019-09-27 18:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
무작위 기술로 짜깁기된 제목과 본문...규칙 기반 탐지 기술 회피하려는 듯
링크의 끝에는 제약회사와 비트코인 거래소 사이트...멀웨어는 아직 나오지 않아


[보안뉴스 문가용 기자] 같은 봇넷에서 대량의 스팸 메시지가 발송되는 일이 발견됐다. 다만 이 메일들의 헤더는 무작위로 작성되어 있었고, 템플릿도 제각각이라 출처가 같은 것으로 보이지는 않는다고 한다. 이 공격에 대해 보안 업체 트러스트웨이브(Trustwave)가 발표했다.

[이미지 = iclickart]


“트러스트웨이브 내부에서는 이 캠페인을 카멜레온(Chameleon)이라고 부릅니다. 카멜레온 캠페인을 통해 발송되는 이메일들은 ‘전 직장 동료’가 보낸 것으로 위장되어 있고, ‘같이 일해보자’는 내용으로 구성되어 있습니다. 물론 내용과 제목은 무작위로 처리하기 때문에 다른 테마들도 더 많습니다.”

하지만 연결 시 SMTP 거래 명령들이 메일마다 비슷하다는 점, 이메일 제목이 무작위로 바뀌긴 하지만 대체적으로 짧고, 어느 정도 의미를 갖추고 있다는 점, 이메일 본문 역시 간단명료하고 짧다는 점 등 공통점도 적잖이 발견됐다.

“이 스팸 메일 제목의 특징은 ‘From’, ‘To’, ‘Message-ID’, ‘Content-Transfer-Encoding’, ‘Content-Type’과 같은 필드들이 무작위 순서로 조합된다는 겁니다. 그래서 서로 대단히 다르게 보이죠.” 트러스트웨이브의 설명이다. “이메일 본문의 경우 무작위 HTML 요소들을 갖추고 있었습니다. 이런 모든 점을 봤을 때 규칙을 기초로 한 탐지 시스템을 피해가고자 공격자들이 머리를 굴린 것으로 보입니다.”

메일들에는 악성 URL이 하나씩 포함되어 있었다. “대다수의 악성 URL들을 클릭하면 침해된 워드프레스 사이트로 연결됩니다. 공격 인프라의 일부로 보입니다.” 또한 봇넷은 한 번에 다량의 메일을 발송하고 긴 시간 휴식한 뒤, 갑자기 활동을 시작하는 패턴을 보이고 있다. “주기적으로 스팸 템플릿을 바꾸는 설정이 되어 있는 것으로 보입니다. 이 역시 규칙 기반 탐지 기술을 농락하기 위함이죠.”

하지만 아직까지 이들이 배포하려는 멀웨어가 무엇인지는 정확히 파악해내지 못했다.

스팸 메일은 구글의 개인 혹은 비밀 메시지, 이메일 계정 보안 경고, 메일 발송에 실패했다는 경고 메일, 링크드인 알림 메일, 페덱스 우편 알림, 항공사 예약 확인 및 현황 등의 형태를 취하고 있었다. 대부분 피싱 메일 공격에서 일반적으로 발견되는 수법이다. 물론 위에 언급한 대로 전 직장 동료가 보낸 스카웃 메일도 있었다.

한편 악성 링크를 통해 연결되는 워드프레스 웹 페이지들은 전부 같은 자바스크립트를 호스팅하고 있는 것으로 파악됐다. 이 자바스크립트는 방문자를 또 다른 곳으로 우회시키는 기능을 가지고 있었다. “최종 랜딩 페이지는 greatexpert.su입니다. 캐나다의 제약 회사를 흉내 낸 웹사이트죠.”

이 가짜 사이트에 상에서는 온라인 상거래가 가능하다. 즉 방문자가 뭔가를 구매하고, 지불하며, 배송 정보를 받아볼 수 있는 것이다. “이 사이트는 꽤나 최근에 만들어졌고, 지메일 주소로 등록되어 있었습니다.” 공격에 따라 제약 회사 사이트가 아니라 비트코인 거래소인 것처럼 보이는 사이트로 우회되는 경우도 있었다.

“이 캠페인을 진행하고 있는 스팸용 봇넷은 매우 강력하고 유연한 것으로 보입니다. 게다가 배후에 있는 자의 실력도 만만치 않은 것으로 보입니다. 이 봇넷을 사용할 경우 적은 비용으로 큰 효과를 거둘 수 있기도 합니다. 현재 공격자들은 약을 판매한다거나 비트코인을 판매하기 위해 이 같은 짓을 하고 있는 것 같습니다만, 앞으로는 어떤 모양으로 변할지 모르겠습니다.” 트러스트웨이브의 설명이다. “그 미래에는 멀웨어를 심기 시작하는 것도 포함될 수 있습니다.”

3줄 요약
1. 한 봇넷에서 대량의 스팸 메일 발송됨.
2. 메일의 링크를 계속 추적하다보면 수상한 제약 회사와 비트코인 거래소 사이트 나옴.
3. 각종 사이트 트래픽 늘리는 수법 될 수도?

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북