세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
랜섬웨어 시대 저무나...플로드애미 RAT 캠페인
  |  입력 : 2018-03-13 10:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
3월초부터 시작된 공격...URL을 집파일처럼 위장해 이메일 발송
랜섬웨어의 시대를 지나는 범죄자들, 새로운 수익 창출 마련 중


[보안뉴스 문가용 기자] 정교한 표적형 이메일 공격이 발견되었다. 이 공격에는 여태껏 발견되지 않은 새로운 원격 접근 멀웨어(RAT)가 포함되어 있었다. 보안 업체 프루프포인트(Proofpoint)가 찾아낸 것으로, “최근 사이버 범죄자들이 랜섬웨어 외의 수익을 창출하고자 모색 중인 것으로 보인다”고 분석한다.

[이미지 = iclickart]


프루프포인트가 찾아낸 이 최신 멀웨어의 이름은 플로드애미 RAT(FlawedAmmyy RAT)이다. 2018년 3월초부터 시작된 이메일 공격을 통해 드러나긴 했지만 최소 2016년 1월부터 사용된 것으로 보인다. 이메일 전파 수법이나 멀웨어를 분석했을 때 공격자는 TA505라는 범죄 단체인 것으로 의심된다. TA505는 드리덱스(Dridex), 록키(Locky), 글로브임포스터(GlobeImposter)를 퍼트린 이들이다.

플로드애미 RAT은 애미 어드민(Ammyy Admin) 버전 3의 유출 소스코드를 기초로 하여 만들어졌다. 애미 어드민은 합법적인 원격 데스크톱 소프트웨어로 수백~수천 만의 사용자가 존재하는 것으로 알려져 있다. 애미 어드민이 어뷰징 된 사례는 플로드애미 RAT 말고도 더 있다. 2016년 7월에도 이러한 사례가 발견된 바 있다.

플로드애미는 애미 어드민과 똑같은 기능을 한다. 즉 원격 데스크톱 프로토콜, 파일 시스템 관리자, 프록시 지원, 오디오 채팅 지원 등이 가능하다는 것이다. 물론 공격자만이 누릴 수 있는 것들이다. 침해에 성공하게 되면 공격자는 시스템 통제권을 통째로 가져올 수 있게 된다. 원격에서 피해자가 사용하는 서비스를 열람하고, 민감한 정보를 훔쳐오며, 크리덴셜도 탈취가 가능하다. 오디오와 키스트로크를 통한 감시 행위도 여기에 포함된다.

이 캠페인은 3월초부터 시작됐다. 받는 사람의 도메인을 스푸핑한 주소로부터 이메일이 발송됐으며, 집(zip)으로 압축된 .url 첨부파일이 들어있었다. .url 파일들은 윈도우가 ‘인터넷 바로가기’ 파일로 인식한다. 그러나 공격자들은 이 파일을 http:// 대신 file:// 으로 설계해두었기 때문에 네트워크 내 공유파일이나 폴더로 연결된다. 때문에 사용자가 이 파일을 열 경우 시스템은 인터넷 브라우저를 여는 게 아니라 SMB 프로토콜을 통해 자바스크립트 파일을 다운로드 받아 실행한다.

이 자바스크립트 파일은 다시 퀀트 로더(Quant Loader)라는 걸 다운로드 받는다. 이는 플로드애미를 호출하는 기능을 가진 중간 단계 멀웨어다. 프루프포인트는 “.url 파일들과 SMB 프로토콜 다운로드가 한 공격에 복합적으로 사용된 것은 이번이 처음”이라고 설명한다. 프루프포인트의 부회장인 케빈 엡스타인(Kevin Epstein)은 “오래된 기술을 전략적으로 새롭게 활용한 사례”라고 말한다.

“첨부파일이나 URL을 사이버 범죄에 사용하는 사례 자체는 예전부터 있어왔습니다. 하지만 URL을 집파일로 첨부해 링크처럼 보이지 않도록 하는 것과, 이 URL이 사실은 브라우저를 여는 게 아니라 SMB를 통하여 파일을 전송하도록 구성되어 있다는 건 새로운 접근법입니다. 오래된 것을 새롭게 사용했을 때의 결과는 무엇일까요? 엄청난 확장성입니다. 고도로 정밀화된 표적형 공격도 가능하고, 동시에 수백만의 피해자를 낳을 수도 있습니다.”

엡스타인에 의하면 플로드애미 RAT 공격자들의 공격 동기는 ‘돈’으로 보인다고 한다. 국가 기관에 의한 사이버전은 일단 가능성이 낮아 보인다는 뜻이다. 또한 엡스타인은 “이제 돈을 벌기 위한 사이버 범죄자들 사이에서 랜섬웨어 외 다른 수단이 모색되고 있는 것으로 보인다”고 분석한다.

“멀웨어의 일종인 랜섬웨어가 아니라 트로이목마의 한 종류인 RAT을 사용하기 시작했다는 건 랜섬웨어 시장의 성장이 한계점에 다다랐다는 뜻으로 보입니다. 예견된 일이기도 했습니다. 그 분야의 경쟁자가 지나치게 많았고, 범죄자들에게 ‘돈을 내지 말아야 한다’는 캠페인이 넓게 퍼지기도 했죠. 새로운 수익거리가 필요했을 겁니다.”

실제로 지난 6개월 동안 랜섬웨어는 암호화폐 채굴 코드와 트로이목마 류의 공격에 뒤쳐졌다. 랜섬웨어가 아예 사라진 건 아니지만, 전성기만큼의 성적을 거두지는 못하고 있기에, 범죄자들이 다른 길을 모색하기 시작한 것이다.

“또 하나 주목해야 할 건 소셜 엔지니어링 공격이 한층 더 정교해지고 있다는 겁니다. 플로드애미 공격은 피해자의 특정 행위를 꼭 필요로 하거든요. 사이버 기술이 아니라 사람을 속이는 기술이 소리 소문 없이 향상되고 있다는 것도 경계해야 할 것입니다.” 그러면서 “컴퓨터 내에서 ‘활성화(enable)’라는 단어를 보면 조심해야 할 것”이라고 권고한다. “사용자가 직접 활성화(enable)시켜야 하는 것은 거의 대부분 위험한 내용물입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)