뱃로더라는 새로운 멀웨어가 올해 초부터 발견되기 시작하더니 요즘에는 부쩍 자주 나타나고 있다. 대부분 무료 소프트웨어를 찾는 사람들 사이에서 감염자들이 나타나는 중이다. 뱃로더에는 몇 가지 특이한 점이 있는데, 이전 유명 멀웨어들과 닮은 점들도 가지고 있다.

[보안뉴스 문가용 기자] 지난 수 개월 동안 새로운 멀웨어가 나타나 빠르게 퍼져나가고 있다고 보안 업체 VM웨어 카본블랙(VMware Carbon Black)이 발표했다. 이 멀웨어는 자신이 올라탄 시스템이 기업에서 사용하는 것인지 아니면 일반 개인용 컴퓨터인지를 파악하는 기능도 가지고 있다고 한다. 카본블랙 측에서는 이 멀웨어에 뱃로더(BatLoader)라는 이름을 붙여 추적하고 있다. 뱃로더는 일종의 드로퍼로, 피해자의 시스템에 추가 멀웨어를 설치한다. 주로 멀쩡한 웹사이트에 호스팅되어 있으며, 공격자들은 SEO 기법으로 피해자들을 감염된 사이트로 접속시킨다.


리빙 오프 더 랜드(Living off the Land) 전략
뱃로더는 배치(batch) 및 파워셸 스크립트를 활용해 피해자의 시스템에 최초로 침투한다. 그리고 이 스크립트들을 활용해 추가 멀웨어를 다운로드 받는다. 카본블랙에 의하면 이 최초 단계에서 뱃로더를 탐지하는 건 대단히 힘든 일이라고 한다. 지난 약 90일 동안 43번 공격이 성공한 것으로 보인다고 하는데, 이 43번 외에도 뱃로더를 다운로드 받은 조직들이 있긴 하지만 실행이 되지 않은 것으로 분석됐다. 기업 서비스, 금융, 제조, 교육, 도소매, IT, 헬스케어 분야에서 피해가 발견됐다.

또 다른 보안 업체 이센타이어(eSentire)도 뱃로더의 운영자들이 피해자들을 엉뚱한 웹사이트들로 유도하는 것을 발견했다고 발표했다. 로그미인(LogMeIn), 줌(Zoom), 팀뷰어(TeamViewer), 애니데스크(AnyDesk) 등 주로 인기 높은 업무용 소프트웨어를 다운로드 받을 수 있는 곳처럼 꾸며져 있는 웹사이트들이었다. 악성 광고나 검색 결과 조작을 통해 이러한 사이트가 피해자들에게 노출될 수 있도록 했고, 여기에 속아 접속하면 뱃로더가 다운로드 되는 식이었다.

“뱃로더가 흥미로운 건, 피해자의 컴퓨터가 기업용인지 개인용인지 확인하는 로직이 탑재되어 있기 때문입니다.” 이센타이어의 수석 연구원인 키건 케플링어(Keegan Keplinger)의 설명이다. “그러고 나서 기업용 컴퓨터에는 기업용 컴퓨터에 맞는, 그리고 개인용 컴퓨터에는 개인용 컴퓨터에 맞는 멀웨어를 심는 방식으로 추가 공격을 이어갑니다.”

아무 페이로드나 심지 않는다?
예를 들어 개인용 컴퓨터라고 판단이 될 경우 뱃로더는 어즈니프(Ursnif)라는 유명 뱅킹 멀웨어나 비다(Vidar)라는 정보 탈취형 멀웨어를 다운로드 한다. 업무용 컴퓨터(기업 소유 컴퓨터)라고 분석이 될 경우에는 이 두 가지 멀웨어에 더해 코발트스트라이크(Cobalt Strike)와 싱크로(Syncro)라는 원격 모니터링 및 조작 도구를 추가로 심는다. “개인용 컴퓨터에서는 금융 사기와 정보 탈취를, 기업 환경에서는 추가 침투를 진행하는 것이라고 볼 수 있습니다.”

키건은 “최근 꽤나 많은 사이버 공격 사건에서 뱃로더가 발견된다”고 말한다. 대다수가 ‘아무나 걸려라’ 식으로 진행되는 사이버 공격이고, 무료 소프트웨어를 불법으로 다운로드 받으려는 사람들이 주요 피해자라고도 설명을 덧붙였다. “표적 공격을 주로 하는 고급 단체가 아니라 아무 공격이나 무작위로 하고 보는 사이버 범죄자들 사이에서 뱃로더가 인기를 높여가는 중으로 보입니다.”

카본블랙은 “뱃로더가 보여주는 특성 중 독특한 것들도 있지만 사실 이전 유명 공격자들의 특성과도 겹치는 부분들이 존재한다”고 지적한다. 특히 콘티(Conti) 랜섬웨어와 유사한 부분들이 있다고 카본블랙은 강조한다. “콘티 그룹이 로그4j(Log4j) 취약점을 익스플로잇 할 때 사용했던 IP 주소가 뱃로더 캠페인에서 발견되고 있습니다. 또한 콘티가 사용했던 원격 관리 도구인 아테라(Atera)도 같이 활용된 흔적이 나타나고 있고요.”

지로더(Zloader)라는 뱅킹 트로이목마 운영자들의 수법과도 비슷한 면모가 발견되고 있다. 지로더는 제우스(Zeus)라는 2000년대 초반의 악명 높은 뱅킹 트로이목마에서 나온 것으로 추정되는 멀웨어다. “지로더도 검색 결과를 조작하는 SEO 포이즈닝 기법으로 피해자들을 속였습니다. 위도 인스톨러를 악용해 최초 침투를 이뤄냈고, 파워셸과 배치 스크립트를 적극 활용하기도 했고요. 여러 OS 기본 바이너리들을 악용하기도 했습니다. 이런 모든 특징들을 뱃로더도 가지고 있습니다.”

한편 뱃로더를 최초로 발견해 세상에 알린 건 보안 업체 맨디언트(Mandiant)다. 지난 2월 맨디언트는 자사 블로그를 통해 이 멀웨어의 존재를 드러냈는데, 당시에도 “생산성 앱들을 무료로 다운로드 받게 해 준다는 가짜 광고와 웹사이트를 통해 퍼지고 있다”고 발표했었다. 또한 SEO 포이즈닝에 대한 내용도 언급했다.

3줄 요약
1. 무료 소프트웨어 다운로드 받으려다가 뱃로더 다운로드 됨.
2. 뱃로더는 일종의 다운로더인데, 기업용과 개인용 컴퓨터를 가려서 공격을 진행함.
3. 최근 다크웹에서 인기가 올라가는 것으로 추정됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>