Home > 전체기사
10년 넘은 멀웨어 큐봇, 최근 새 기능 통해 강력해져 돌아와
  |  입력 : 2020-08-28 08:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
처음에는 뱅킹 트로이목마였으나 시간 흐르며 다목적 멀웨어로 변모
최근에는 이메일 스레드 조작하는 기능과 공격자용 그래픽 인터페이스가 추가돼


[보안뉴스 문가용 기자] 2008년부터 전 세계 여러 조직들을 골치 아프게 했던 멀웨어인 큐봇(Qbot)이 돌아왔다. 이메일 스레드를 훔쳐서 다른 사용자들까지도 감염시키는 새로운 기능을 덧입은 채다. 보다 강력해진 큐봇을 보안 업체 체크포인트(Check Point)가 찾아냈다. 현재 하루 평균 10만 대 이상의 시스템이 큐봇의 공격에 당하고 있는 중이라고 한다.

[이미지 = utoimage]


2008년 처음 등장할 때만 하더라도 큐봇은 뱅킹 트로이목마였다. 그러나 12년의 시간 동안 다양한 기능을 가진 멀웨어로 변모했다. 그래서 지금은 크리덴셜 탈취, 지불카드 정보 탈취, 추가 멀웨어 설치, 사기성 은행 거래 실시 등의 기능을 가지고 있다. 지금도 전 세계 수많은 시스템들이 큐봇의 다양한 버전에 감염되어 있는 상태다.

이런 큐봇의 최신 버전에는 ‘이메일 수집 모듈’이 새로이 탑재되었다. 감염시킨 시스템의 아웃룩 클라이언트로부터 이메일 스레드를 추출하고 원격 서버에 업로드 하는 기능을 발휘한다. 큐봇 운영자들은 이 스레드에 멀웨어가 첨부된 스팸 메일을 삽입함으로써 피해자가 스팸 메일을 정상 메일로 오인하도록 만든다. 따라서 첨부 문서를 열거나 악성 링크를 클릭할 확률을 높이는 것이다. 체크포인트에 따르면 이러한 이메일들은 주로 코로나 바이러스, 세금 환급, 새로운 일자리 정보와 같은 테마로 구성되어 있다고 한다.

가상 네트워크 컴퓨팅(VNC) 플러그인도 새롭게 추가됐다. 공격자들은 이 플러그인을 통해 피해자의 시스템을 장악할 수 있게 되는데, 이 때 그래픽 인터페이스를 사용할 수 있게 해준다. 체크포인트 멀웨어 연구 팀장인 다니엘 막스(Daniel Marx)는 “요즘 멀웨어들에서 종종 발견되는 기능으로, 대단히 혁신적이라고 할 수는 없지만 큐봇 운영자들이 최신 유행에 민감하다는 것을 알 수 있다”고 설명한다. 그리고 “이런 민감함이 큐봇의 장수 비결”이라고 덧붙였다.

이번 보고서를 통해 체크포인트는 “멀웨어에 대한 조직들의 방어력이 한층 향상된 모습을 보이고 있다”고 밝히기도 했다. 버라이즌(Verizon)이 2016년 발표한 침해 사고 수사 보고서(DBIR)에 의하면 멀웨어 때문에 발생한 침해 사고가 전체 침해 사고의 50%를 차지한다고 하는데, 작년에는 6.5%만을 차지했을 뿐이었다. 이처럼 멀웨어 방어력이 높아지자 공격자들은 정상적인 관리자 크리덴셜을 훔쳐서 침투하는 전략을 구사하기 시작했다고 체크포인트는 설명한다.

실제 최근 발생하는 데이터 침해 사고의 대부분은 크리덴셜 유출로부터 발생한다. 게다가 피해자의 시스템에 이미 설치된 정상적인 시스템 도구들을 공격에 활용하는 ‘리빙 오프 더 랜드(Living-off-the-land)’ 전략까지 유행하기 시작하면서 공격자들을 탐지하는 건 더 어려운 일이 되어 버렸다. 멀웨어는 주요 위협 요소에서 한 발 뒤로 물러선 분위기로, 전체 침해 사고의 약 17%가 멀웨어로부터 비롯된다.

그렇다고 멀웨어에 대한 경계를 늦춰서는 안 된다고 체크포인트는 강조한다. “멀웨어로 인한 사고는 지금도 꾸준히 발생하고 있고, 멀웨어 개발자들은 지속적인 업그레이드를 진행하고 있습니다. 침해 사고의 17%가 멀웨어와 관련이 있다고 하는데, 과거에 비해 낮아진 수치일지 모르지만 절대량 자체는 여전히 어마어마합니다. 멀웨어가 정말 한 물 간 위협이라면 굳이 큐봇을 업그레이드 할 필요가 없었겠죠.”

3줄 요약
1. 10년도 넘은 낡은 멀웨어 큐봇, 새로운 기능 통해 업그레이드.
2. 이메일 스레드에 스팸 메일 삽입하는 기능과 공격자 위한 그래픽 인터페이스가 추가됨.
3. 최근 멀웨어 활용도 다소 떨어졌지만, 위험성은 여전.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)