보안뉴스 창간 15주년을 축하합니다!!

Home > 전체기사

새 고급 멀웨어 다운로더 세인트 봇, 앞으로가 더 무서워질 듯

  |  입력 : 2021-04-13 14:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
옛 소련 연방 국가들을 피하면서, 조지아를 집요하게 노리는 피싱 캠페인이 발견됐다. 이 캠페인에서 활용되는 드로퍼는 세인트 봇이라고 하며, 처음 발견된 것이다. 앞으로 세인트 봇의 움직임이 더 활발해질 것으로 예상된다.

[보안뉴스 문가용 기자] 새로운 고급 멀웨어 다운로더가 최근 활동량을 높이기 시작했다. 아직 널리 퍼지지는 않은 상태이지만, 가속이 붙은 상황이라 언제 폭발적으로 증가해도 이상하지 않다고 한다. 이러한 사실을 보안 업체 멀웨어바이츠(Malwarebytes)가 발표하며 경고했다. 문제가 되고 있는 다운로더의 이름은 세인트 봇(Saint Bot)이라고 한다.

[이미지 = utoimage]


멀웨어바이츠가 발견한 바에 의하면 세인트 봇을 활용한 캠페인은 조지아라는 국가의 정부 기관들을 겨냥한 채 진행되고 있다고 한다. 공격자들은 세인트 봇을 정부 기관 시스템에 침투시킨 뒤, 이를 통해 정보 탈취형 멀웨어나 추가 다운로더를 설치한다고 한다. 또한 여러 공격자들이 이 캠페인에 참여하고 있는 것으로 보인다는 점도 지적됐다.

세인트 봇이 드롭하는 정보 탈취형 멀웨어 중 하나는 토러스(Taurus)라고 한다. 토러스는 비밀번호, 브라우저 이력, 쿠키, 자동 채우기용 데이터 등을 훔치는 기능을 가지고 있는 멀웨어다. 뿐만 아니라 널리 사용되는 FTP와 이메일 클라이언트의 크리덴셜과 시스템 정보를 수집하는 버전도 존재한다.

세인트 봇과 같은 유형의 멀웨어를 ‘드로퍼’라고 하는데, 이 드로퍼는 또 다른 멀웨어를 추가로 설치하는 데 특화되어 있는 유형이다. 주로 피싱 이메일이나 악성 웹사이트에 숨겨져 있다. 주로 최초 침투 단계에서 사용되기 때문에 탐지를 회피하고 보안 솔루션들을 비활성화 시키는 기능을 가지고 있다. 또한 추가 멀웨어를 공격자들로부터 받아야 하기 때문에 C&C 통신 기능과 명령 수행 기능도 갖추고 있다.

멀웨어바이츠 연구원들에 따르면 최근 집(zip) 파일을 첨부되어 있는 피싱 이메일들이 발견되어 조사하고 있었다고 한다. 이 피싱 메일에 포함되어 있던 멀웨어는 멀웨어바이츠가 본 적이 없는 것이었으며, 분석해 보니 집 파일에는 난독화 처리가 된 파워셸 스크립트가 저장되어 있었다. 이 스크립트는 비트코인 지갑 주소처럼 위장되어 있었지만, 각종 감염 및 공격 행위를 실시하는 기능을 가지고 있었다.

“원래는 이 집 파일과 악성 스크립트에 대해서만 보고서를 작성하려고 했습니다. 그런데 이 세인트 봇을 활용한 정치적 피싱 캠페인이 추가로 발견됐습니다. 그래서 조사의 규모를 조금 더 키웠고, 그러면서 세인트 봇과 관련된 추가 악성 파일들을 찾아낼 수 있었습니다. 공격자들은 세인트 봇을 통해 정보 탈취형 멀웨어를 심고 있었다는 결론을 얻어낼 수 있었습니다.”

다른 드로퍼들과 마찬가지로 세인트 봇은 각종 난독화 및 탐지 방해 기능들로 가득했다. 최초 침투를 수행해야 하기 때문이다. 또한 특정 국가들에서는 악성 기능이 발동되지 않도록 하는 기능도 있었다. 주로 전 소비에트 연방에 소속된 국가들이 여기에 포함되어 있었다. 세인트 봇은 피해자 시스템에 설치된 이후 주로 토러스라는 정보 탈취형 멀웨어를 심었는데, 이 토러스 역시 같은 국가들에서 발동되지 않도록 설계되어 있었다.

아직 세인트 봇이 도처에 펼쳐져 있는, 만연한 위협이라고 보기에는 어렵다. 또한 세인트 봇 자체가 대단히 위협적인 수준에 이르렀다고 말하기도 힘들다. 다만 세인트 봇 개발자들이 현재까지도 계속해서 멀웨어를 계발하고 있다는 증거가 나오고 있어 앞으로가 더 우려되는 상황이다. “이전 버전의 세인트 봇이 그리 멀지 않은 과거에 만들어져 사용되어 왔습니다. 아마도 다른 고객들의 필요에 따라 조금씩 바꾸고 수정하는 듯 합니다. 세인트 봇은 여러 다양한 캠페인에서 조금씩 발견되고 활용될 것으로 보입니다.”

3줄 요약
1. 조지아의 국가 기관을 표적 삼은 피싱 캠페인 발견됨.
2. 이 캠페인의 특징은 세인트 봇이라는 새로 나온 드로퍼를 활용한다는 점.
3. 세인트 봇은 다양한 이들이 맞춤형으로 개발해 사용하는 것으로 보여, 앞으로 더 자주 출몰할 것이 예상됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 5일 밤 발생한 카카오톡 장애로 인해 일명 ‘넷플릭스법’에 대한 관심이 다시금 높아지고 있는데요. 통신서비스 품질 유지 의무를 부과하고 있는 기업 가운데 가장 안정적인 서비스를 제공하는 부가통신사업자는 어디라고 생각하시나요?
네이버
카카오
웨이브
넷플릭스
구글
페이스북