Home > 전체기사

들키자마자 스테가노그래피 쪽으로 전략 수정한 공격자들

  |  입력 : 2021-03-03 17:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
여러 조직들에 침투해 염탐하고 정보를 빼돌리던 캠페인이 있었다. 보안 전문가들이 이를 찾아냈다. 그러자 이 캠페인의 운영자는 여태까지 한 번도 해보지 않았던 스테가노그래피 전략을 배워와 활용하기 시작했다. 공격자들의 태세 전환 속도가 빛 수준이다.

[보안뉴스 문가용 기자] 오블리크랫(ObliqueRAT)이라는 트로이목마를 운영하는 자들이 감염 전략을 바꿔서 다시 나타났다. 시스코의 탈로스(Talos) 팀이 발견한 바에 의하면 오블리크랫 운영자들은 원래 악성 MS 오피스 문서들을 사용해 피해자들 시스템에 직접 오블리크랫을 심는 전략을 활용했다. 하지만 이 전략이 보안 전문가들에게 들키자 최근 웹사이트를 침해하고, 이미지에 페이로드를 숨겨 호스팅 하는 방식으로 전환한 것이다.

[이미지 = utoimage]


이미지에 악성 코드를 숨기는 기법을 스테가노그래피(steganography)라고 한다. 새로운 기법은 아니다. 하지만 탈로스의 위협 분석가인 애쉬어 말호트라(Asheer Malhotra)에 의하면 “악성 문서를 활용해 사용자들이 악성 이미지가 있는 웹사이트로 유도하는 전략은 흔치 않다”고 한다. “게다가 오블리크랫 운영자들은 스테가노그래피 전략을 사용해 본 적이 없습니다. 완전히 새로운 뭔가를 들고 나왔다는 것 자체가 흥미롭습니다. 공격자들의 뛰어난 유연성을 보여주는 사례이기도 하고요.”

오블리크랫은 일종의 트로이목마로 남아시아의 조직들을 노리는 것으로 알려져 있다. 주 기능은 피해자들을 염탐하는 것으로 시스템 웹캠 등을 통해 스크린샷을 확보한다던가, 파일을 훔쳐낸다던가, 악성 페이로드를 추가로 설치한다. 보안 업체 프루프포인트(Proofpoint)와 카스퍼스키(Kaspersky) 등은 이미 오블리크랫을 발견해 왔으며, 이 악성 캠페인의 운영자들을 트랜스페런트 트라이브(Transparent Tribe)라고 부른다. 트랜스페런트 트라이브는 최소 2013년부터 활동해 온 것으로 알려져 있으며, 그 동안 인도 군과 외교 시설을 주로 공략했었다.

말호트라는 “공격에 활용되는 최초의 악성 오피스 문건이 어떤 식으로 피해자에게 전달되는지는 정확히 밝혀내지 못했다”고 한다. 하지만 이메일 기반의 피싱 및 스피어피싱 공격 혹은 소셜엔지니어링 공격 기법을 활용했을 가능성이 높은 것으로 추측하고 있다. “문서를 다른 곳에 호스팅해 놓은 상태에서, 해당 주소를 피해자에게 넘겨 클릭을 유도하는 식의 전략을 사용할 수도 있습니다.”

어쨌든 악성 문서가 한 번 시스템에 안착하고 나면 공격자들의 다음 할 일은 하나다. 피해자가 그 문서를 열게 만드는 것이다. 열린 순간 악성 매크로가 발동되며, 이 매크로는 악성 오블리크랫 페이로드를 미리 침해해 둔 사이트의 이미지 파일에서부터 가져온다. 다운로드 된 오블리크랫은 피해자 엔드포인트 단에서 실행이 되며, ‘시작 프로그램’ 폴더에 바로가기 링크 파일을 만들어 두기도 한다.

여기서 ‘공격자들은 어떤 방식으로 웹사이트를 침해해 두는가?’라는 의문이 생길 수 있는데 탈로스 팀은 아직 거기까지 알아내지는 못했다고 한다. “웹사이트를 침해한 후 그 사이트의 이미지 중 하나에 악성 코드를 심어둔 다음 다시 업로드 한다는 건데, 이 부분에 있어서 공격자들의 정확한 공격 전략은 잘 모르겠습니다. 관리자 크리덴셜을 훔쳐내거나, 취약점을 익스플로잇 하는 중이라고 예상되긴 합니다만, 확인되지는 않았습니다.”

이번 주 또 다른 보안 업체 소포스(Sophos)도 한 공격 단체가 취약한 웹사이트를 침해한 뒤, 여기에 악성 콘텐츠를 주입하는 방식으로 피해자들을 감염시킨다는 보고서를 발표했다. 탈로스가 발견한 트랜스페런트 트라이브의 새 공격 전략과 비슷하다. 다만 소포스가 발견한 캠페인의 운영자들은 검색 엔진을 속여 자신들이 침해한 사이트를 신뢰할 만한 사이트로 보이게끔 만들기도 했다. 이 때문에 보안 장치들로도 해당 사이트의 수상함을 발견하기가 힘들었다고 한다.

3줄 요약
1. 오블리크랫이라는 백도어 사용하는 공격자들, 최근 감염 전략 바꿈.
2. 사이트를 먼저 침해해 두고, 이미지에 악성 코드를 숨겨둔 뒤, 피해자를 이 사이트로 유도.
3. 공격자들, 행위가 들키면 곧바로 전략 수정해 활용.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비