Home > 전체기사
북미 협상 노리나? 동남아 사용자 노리는 백도어 퍼지고 있어
  |  입력 : 2019-02-28 14:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
백도어는 파시어...윈도우 시스템 노려...헨박스라는 멀웨어와 관련 있어
공격 인프라에서 다양한 멀웨어 발견돼...공격자는 전부 동일 그룹?


[보안뉴스 문가용 기자] 북미 협상이 베트남에서 진행되고 있는 가운데, 동남아 지역을 겨냥한 백도어가 발견됐다. 이에 대해 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 상세히 분석한 내용을 발표했다.

[이미지 = iclickart]


이 백도어의 이름은 파시어(Farseer)로, 윈도우 기반 컴퓨터를 감염시키며, 헨박스(HenBox)라는 안드로이드 멀웨어 패밀리와 관련이 있는 것으로 보인다. 헨박스는 작년 위구르족을 대상으로 한 사이버 정찰 및 감시 공격에 사용되고 있는 것이 발견된 바 있다.

헨박스와 파시어의 공격 인프라를 추적한 결과 다른 멀웨어들도 등장하기 시작했다. 포이즌 아이비(Poison Ivy), 줍댁스(Zupdax), PK플러그(PKPLUG)가 대표적인데, 사실 이 멀웨어 패밀리들은 대단히 큰 인프라를 통해 배포되고 있어 다른 인프라와 겹치는 부분이 자주 발생하는 편이다.

지난 2년 동안 파시어의 변종은 30개가 넘게 발견됐다. 그 중 2017년에 발견된 수가 가장 많았고, 2018년에도 적지 않은 수가 새로 등장했다. 현재까지 발견된 변종 중 가장 최신의 것은 지난 2개월 사이에 발견되기도 했다.

이 최신 변종의 경우 C&C 활동을 위한 도메인이 달라졌다. 이 도메인의 경우 새롭게 생성된 것은 아니고, 포이즌 아이비의 샘플과도 연관이 있는 것으로 나타났다. “포이즌 아이비의 공격자들도 같은 도메인을 C&C로 활용하고 있었습니다. 이 도메인이 마지막으로 사용된 건 2018년 12월입니다.”

C&C 인프라 외에도 파시어와 포이즌 아이비 사이에는 공통점들이 몇 가지 추가로 발견됐다. “공통된 도메인이 추가로 발견되기도 했고, C&C 목적으로 활용되는 제3의 도메인도 찾아낼 수 있었습니다. 그 외에 IP 주소 일부가 겹치기도 했습니다. 한편 파시어는 헨박스나 플러그엑스(PlugX), 고스트랫(Gh0st RAT) 등의 다른 멀웨어와 C&C 도메인과 IP 주소를 공유하기도 했습니다.”

이는 무슨 뜻일까? 왜 이렇게 수많은 멀웨어와 같은 인프라를 가지고 있는 걸까? “공격자가 비슷하거나 동일한 인물 혹은 단체일 가능성도 있고, 해당 인프라가 범죄 조직들 사이에서 인기가 높은 것일 수도 있습니다. 그러나 추가 조사가 이어지고, 더 많은 증거가 나오기 전까지는 확신할 수가 없습니다.”

파시어는 페이로드를 로딩하기 위해 DLL 사이드로딩(DLL Sideloading)이라는 기법을 사용한다고 팔로알토 네트웍스는 설명한다. “멀웨어의 환경설정 파일들은 헨박스의 그것과 유사한 점이 많습니다. 둘 다 텍스트 파일이며, 런타임 동안 읽고 확인하는 게 가능하다는 것부터 비슷합니다.” 또 파시어는 공격의 지속성을 확보하기 위해 레지스트리를 새로 입력해 VBS 스크립트가 실행되도록 한다. 이 스크립트는 bscmake.exe를 실행시킨다.

팔로알토는 “아직까지 드러난 사실로는 파시어 공격자들이 구체적으로 어떤 부류의 사람들을 노리는지 알 수가 없다”고 말한다. “다만 여태까지 축적된 자료와 대조해보고, 파시어의 인프라에서 발견된 다른 멀웨어를 통해 봤을 때 공격자들은 동남아 지역의 사용자들을 노리고 있음이 가장 확실해 보입니다.”

파시어는 최종 페이로드를 설치하는데, 이 페이로드가 바로 백도어다. 미리 설정한 C&C 서버로부터 명령을 받고, 공격자의 운영을 통해 다양한 기능을 발휘할 수 있다. 그럼으로써 탐지 기술을 피해가고 분석을 방지할 수 있게 된다. 페이로드는 디스크에 암호화되어 보관되며 런타임 동안 복호화가 메모리 내에서 이뤄진다. “이렇게 함으로써 분석이 더 어렵게 됩니다.”

한편 북미 1차 회담이 작년 싱가포르에서 진행되었을 당시, 싱가포르로 들어오는 사이버 공격이 회담일 전후로 급증하기도 했었다. 이번 파시어 공격이 북미 정상회담과 관련이 있는지는 아직 정확히 말할 수 없는 단계다.

3줄 요약
1. 파시어라는 백도어의 변종이 새로 발견됨. 공격 인프라를 통해 다른 여러 멀웨어들도 퍼지고 있음.
2. 누군가 여러 멀웨어를 통해 다양한 공격을 하는 것, 아니면 범죄자들이 그 인프라를 즐겨 사용하는 것.
3. 증거를 더 찾아야 정확한 공격 배후 세력이나 동기 알 수 있는 상태

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)