Home > 전체기사
아시아 국가들 겨냥한 멀웨어 배포 캠페인, 홀리 워터
  |  입력 : 2020-04-01 13:50
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
공격 배후 세력과 동기, 정확한 표적은 아직 확실하게 파악할 수 없어
공격자의 진정한 실력은 고급 툴 제작 능력이 아니라 목표 달성의 효율성


[보안뉴스 문가용 기자] 아시아 국가들을 겨냥한 멀웨어 배포 캠페인이 발견됐다. 공격자들이 발휘한 기술은 그리 고급스럽지 않지만 꽤나 독창적이라고 해서 눈길을 끌고 있다. 한 마디로 정리하면 공격자들이 현재 실행하고 있는 건 일종의 워터링홀(watering hole) 공격이며, 이를 통해 각종 멀웨어를 피해자들의 시스템에 감염시키는 것이 목표다.

[이미지 = iclickart]


이 캠페인의 표적이 되는 건 아시아의 특정 종교 단체나 소수 민족이다. 워터링홀 공격에 활용되고 있는 사이트는 10개가 넘으며, 개인, 자원 프로그램, 기부 및 자선 단체 등의 것이라고 한다. 표적이 되는 종교나 소수 민족과 관련이 있다. 이 사이트에 방문만 하더라도 피해자는 곧바로 멀웨어에 감염된다.

이러한 활동을 발견한 건 보안 업체 카스퍼스키(Kaspersky)다. 카스퍼스키 연구원들은 이 캠페인에 홀리 워터(Holy Water)라는 이름을 붙였다. 카스퍼스키가 분석한 바 공격자들이 사용하는 도구들은 주로 오픈소스 코드, 깃허브(GitHub), 고 언어(Golang), 구글 드라이브 기반의 C&C 채널이라고 한다. 고급스럽거나 기술적으로 뛰어난 건 아니지만 독창적인 활용을 보여준다고 한다.

“사용자가 공격자들이 마련한 워터링홀 사이트에 접속하면 악성 자바스크립트가 로딩되면서 사용자 시스템에 대한 정보를 수집합니다. 이 정보는 외부에 있는 공격자의 서버로 전달되지요. 공격자들은 이를 점검한 후 공격 대상이 될 만한지 아닌지를 판단합니다.” 만약 공격 표적으로서 적당하다는 판단이 서면, 또 다른 자바스크립트가 발동해 팝업을 띄운다. 어도비 플래시 소프트웨어를 업그레이드 해야 한다는 내용이다.

사용자가 이를 클릭할 경우 팝업 창이 사라지면서 갓라이크12(Godlike12)라는 이름의 백도어가 설치된다. 공격자들은 이 백도어를 통해 장비에 대한 원격 제어권을 가져가게 되고, 민감한 정보를 훔치거나 파일을 수정하고, 로그를 수집하는 등의 악성 행위를 할 수 있게 된다.

공격자들은 갓라이크12 외에 두 번째 백도어도 활용하고 있었다. 이는 오픈소스이며 파이선으로 제작된 스티치(Stitch)라는 것인데, 공격자들이 암호화 된 정보를 C&C와 주고받을 수 있게 해준다. 카스퍼스키의 수석 보안 연구원인 이반 키아트코우스키(Ivan Kwiatkowski)는 “아직 홀리 워터 캠페인의 궁극적 목적은 알 수 없다”고 말한다. “하지만 금전적 이득을 취하려는 건 아닌 게 확실해 보인다”고 덧붙였다. 그도 그럴 것이 두 개의 백도어가 전부 정보 수집과 관련이 있었기 때문이다.

어떤 면에서 창의적인 것일까?
그렇다면 흔하디 흔한 워터링홀, 정찰 공격이 ‘창의적’이라고 묘사되는 건 왜일까? 카스퍼스키는 “홀리 워터 캠페인의 특징은 공격 초기 단계에서 제대로 구성된 공격 인프라가 아니라 무료로 배포되는 서드파티 서비스를 자신들의 목적에 맞게 살짝 수정해 사용한 것”이라고 설명한다. “그렇다는 건 이들이 최소한의 자원을 활용했다는 것입니다. 아마 투자금이나 자원이 부족했을 거 같아요. 그럼에도 목적을 달성한 것이죠.”

실제로 카스퍼스키가 발견한 공격자들의 도구나 서비스들 중 ‘최고급’에 속하는 건 하나도 없었다. “그럼에도 이 공격자들이 실력이 부족하다고 결론을 내리기가 애매합니다. 왜냐하면 대단히 효율적으로 원하는 바를 수행했기 때문이죠. 그것도 빠른 시간 안에 말입니다. 사이버 공격자들의 실력은 얼마나 고급 도구를 잘 만드느냐가 아니라 얼마나 목적한 바를 효율적으로 이뤄내는가 입니다.”

그러나 공격자들이 애초에 워터링홀로서 활용한 사이트들에 어떤 방식으로 침투했는지는 아직 불투명하다. 다만 소프트웨어 취약점을 악용했을 거라고 카스퍼스키 측은 보고 있다. “모든 워터링홀 사이트들이 워드프레스(WordPress)를 기반으로 하고 있었습니다. 일부는 같은 IP 주소에 호스팅 되어 있기도 했고요.”

또한 공격자들이 백도어 등을 통해 가져간 정보가 정확히 무엇인지, 어떤 정보를 노리고 이런 일을 기획한 것인지도 아직 정확히 알 수 없는 상태다. 하지만 공격에 당한 시스템들을 종합적으로 살폈을 때 물리적 위치를 기준으로 공격 대상을 고르는 것으로 보인다고 한다. 그래서 ‘아시아 지역’에서 이런 일이 발생하고 있다는 내용의 경고문을 발표한 것이다.

카스퍼스키는 “웹사이트 관리자는 항상 소프트웨어를 최신화 시켜야 하며 수상한 활동 내용이 없는지 늘 모니터링 해야 한다”고 강조했다. “사이트에 조그마한 변화가 일어나더라도 금방 알아차릴 수 있을 정도가 되어야 합니다. 그래야 사이트 방문자가 누군가의 감시를 불필요하게 받는 일을 막아줄 수 있습니다.”

3줄 요약
1. 아시아 지역에서 수상한 캠페인이 발견됨.
2. 특정 종교나 소수 민족을 노리는 것 같으나 아직까지 확실한 것은 아님.
3. 아주 값싼 도구들만 활용해 목적한 바 이뤄낸 알짜배기 공격의 사례.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)