Home > 전체기사
새롭게 나타난 호크아이 멀웨어, 개발자의 열정이 가득
  |  입력 : 2019-04-18 11:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
암시장에서 2013년부터 거래되던 멀웨어...소유권 최근 바뀌어
상품화 된 멀웨어가 그렇듯 잦은 기능성 업그레이드 이뤄질 예정


[보안뉴스 문가용 기자] 키로깅과 데이터 탈취에 사용되어 왔던 멀웨어인 호크아이(HawkEye)의 신종 버전이 출현했다고 시스코의 탈로스(Talos) 팀이 경고했다. 호크아이는 최소 2013년부터 지하 암시장에서 거래되던 멀웨어 킷이다.

[이미지 = iclickart]


그런데 이 호크아이에 약간의 변화가 생겼다. 먼저 2018년 12월 소유권이 변경됐다. 곧바로 새로운 변종이 해킹 포럼들에 등장하기 시작했다. 이름도 호크아이 리본 v9(HawkEye Reborn v9)으로 바뀐 상태였다. “고급 모니터링 솔루션”이라는 설명도 붙었다. 돈을 지급하면 사용권(라이선스)을 주는 방식으로 거래됐고, 주기적인 업데이트도 약속됐다.

구매자들은 이용약관에도 서명을 하게 된다. 라이선스를 구매한 사람이라고 하더라도 호크아이 리본을 허락 없이 아무 시스템에서나 사용할 수 없고, 백신 프로그램 등을 활용해 호크아이 리본의 실행파일을 스캔할 수 없다는 내용을 담고 있다. 탈로스 팀은 “탐지되는 걸 최대한 피하기 위해서”인 것으로 보고 있다.

“대신, 다크웹에서 거래되는 대부분의 멀웨어들이 그렇지만, 호크아이 리본의 개발자들도 지속적인 업데이트와 성능 향상을 약속하고 있습니다. 당분간은 이 말이 지켜질 것으로 보이며, 개발자가 호크아이를 통해 돈을 벌지 못하는 시점에 이르기까지는 계속해서 새로운 변종이 나타날 것으로 예상하고 있습니다.”

2018년 하반기부터 현재까지 호크아이 리본은 악성 이메일 캠페인을 통해 퍼지고 있는 중이다. 주로 인보이스나 청구서, 주문 확인서 등의 형태로 컴퓨터들을 감염시키고 있다. “이메일에는 주로 악성 엑셀, RTF, DOC 문서들이 첨부되어 있습니다. 가끔 드롭박스 등 파일 공유 플랫폼과의 링크를 통해 멀웨어를 배포하는 경우도 있었습니다.”

분석을 진행하는 와중에 탈로스 팀은 이번 호크아이 버전이 렘코스 트로이목마(Remcos Trojan)와 비슷하다는 것을 발견했다. “메타데이터들도 어느 정도 겹치고, 사용자들을 속이기 위한 문서들에도 유사한 특징들이 있습니다.”

호크아이가 호스팅 되어 있는 서버들에는 각종 악성 바이너리들도 같이 발견됐다. 이 바이너리 대부분에서 열린 디렉토리 목록이 저장되어 있었는데, “호크아이 공격자들이 다른 멀웨어도 함께 사용 중에 있다”는 걸 알 수 있는 부분이라고 탈로스 팀은 설명한다.

호크아이 공격자들이 가장 많이 익스플로잇 하는 건 CVE-2017-11882와 같은 오피스 취약점들이다. 페이로드 자체는 꽤나 두터운 난독화의 막으로 보호되어 있기도 하다. 분석 방지 기능과 일부 백신 프로그램을 중단시키는 기능도 포함되어 있다. 침투 후에는 기계 이름, 사용자 이름, 권한, 국가, IP 주소, 맥주소, 바이오스, OS, 하드웨어 데이터, 설치된 브라우저, 백신, 방화벽 등의 정보를 수집해 전송한다.

게다가 각종 브라우저는 물론 파일질라(FileZilla), 베이룩스 메신저(Beyluxe Messenger), 코어FTP(CoreFTP), 마인크래프트(Minecraft)와 같은 애플리케이션들에서 비밀번호를 탈취하는 기능도 가지고 있다. 이 모든 정보들은 공격자의 이메일로 전송된다.

“비밀번호를 훔치는 데 사용되는 건 니르소프트(NirSoft)라는 회사에서 만들고 무료로 푼 도구인 메일패스뷰(MailPassView)와 웹브라우저패스뷰(WebBrowserPassView)입니다. 최근 호크아이의 소유주가 바뀌면서 새로운 기능들이 무섭게 추가되고 있습니다. 엄청난 열정을 가진 자가 배후에 있는 것으로 보입니다. 따라서 위협 방지 차원에서 호크아이를 유심히 모니터링하는 게 필요합니다.”

3줄 요약
1. 2013년부터 암시장에서 거래되던 멀웨어, 호크아이. 최근 주인 바뀌며 새롭게 등장.
2. 이름도 ‘호크아이 리본’으로 바뀌고, 새로운 기능도 야심차게 추가되는 중.
3. 상품화 되어 팔리는 제품인만큼 지속적인 업그레이드 이루어질 예정.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)