• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

시스코와 그래멀리 사칭한 피싱 사이트 통해 퍼지는 다크토르티야 2022.12.20

두 개의 피싱 사이트가 발견됐다. 시스코와 그래멀리를 사칭한 것이었다. 분석해 보니 다크토르티야를 퍼트리기 위해 개설된 것으로 밝혀졌다. 이 두 사이트를 이용하려는 사용자들의 주의가 요구된다.

[보안뉴스 문가용 기자] 보안 전문가들이 두 개의 피싱 사이트를 발견했다. 하나는 시스코(Cisco)의 웹 페이지를 그대로 흉내 낸 것이었고, 다른 하나는 유명한 문법 교정 서비스인 그래멀리(Grammarly)의 사이트를 본따 만든 것이었다. 공격자들은 이 두 개의 사이트를 활용해 다크토르티야(DarkTortilla)라는 멀웨어를 퍼트리고 있었다고 한다.

[이미지 = utoimage]


다크토르티야는 닷넷(.NET) 기반의 멀웨어로, 다양한 페이로드를 유포하는 기능을 가지고 있다. 또한 탐지가 어려워 피해자의 시스템과 네트워크에 오랜 시간 머무를 수 있기도 하다. 적어도 2015년부터 다양한 공격자들의 손에 활용되어 왔고, 에이전트테슬라(AgentTesla), 에이싱크랫(AsyncRAT), 나노코어(NanoCore), 바북(Babuk) 등과 같은 멀웨어들이 다크토르티야를 타고 퍼졌다.

피싱 사이트를 통해 퍼지는 다크토르티야
그렇다면 다크토르티야는 어떻게 유포되는 걸까? 여러 가지 방법이 있지만 최근에는 시스코와 그래멀리를 흉내 낸 두 개의 피싱 사이트를 통해서인 것으로 보안 업체 사이블(Cyble)은 밝혀냈다. “그래멀리 서비스를 찾아 온 피해자들은 공격자들의 피싱 사이트에 있는 ‘그래멀리 다운로드’ 버튼을 누릅니다. 악성 설치파일이 압축되어 있는 집(zip) 파일 하나가 다운로드 됩니다. 압축파일 안에는 실행파일이 하나 있고, 이 실행파일은 두 번째 32비트 닷넷 실행파일(즉 다크토르티야)을 공격자가 제어하는 서버로부터 다운로드 받습니다.”

시스코를 사칭한 피싱 페이지에도 다운로드 기능이 있다. 시스코의 VPN을 다운로드 받아 설치할 수 있는 것으로 안내되어 있는 것이다. 시스코의 홈페이지인 줄 알고 접속한 피해자는 VPN을 다운로드 받으려다가 악성 VC++ 파일을 공격자의 서버에서부터 다운로드 받게 된다. 그런 후 연쇄적인 악성 행위를 통해 다크토르티야가 피해자의 컴퓨터에 설치된다.

이런 방식으로 퍼지는 다크토르티야는 사이블에서 분석했을 때 피해자의 시스템에 오래 남아서 공격을 지속시키는 기능과 프로세스를 주입하는 기능, 설치된 백신이나 샌드박스, 가상기계를 확인하는 기능, 가짜 메시지(“설치/실행에 실패하였습니다”)를 화면에 출력하는 기능, 원격 C&C 서버와 통신하는 기능, 추가 페이로드를 다운로드 하는 기능 등을 갖추고 있었다.

위험한 멀웨어, 고급화까지
사이블은 월요일 보안 권고문을 통해 “다크토르티야는 매우 고도화 된 멀웨어”라며 “사용자들을 무차별적으로 노린다”고 표현했다. “피싱 사이트에서 다운로드 되는 파일들은 다양한 주입 기술을 통해 피해자의 시스템에 심깁니다. 공격자들이 상황에 따라, 혹은 피해자에 따라 맞춤형으로 공격을 할 수 있다는 뜻이 되죠. 매우 유연한 공격을 이어갈 수 있다는 뜻입니다.”

이 유연성 때문에 다크토르티야는 여러 사이버 공격 단체에 의해 선호되고 있다. 앞에서 여러 멀웨어들이 다크토르티야를 통해 퍼지고 있다고 했는데, 그 외에도 여러 멀웨어들이 다크토르티야를 적극 활용하고 있다. 보안 업체 시큐어웍스(Secureworks)의 경우 렘코스(Remcos), 비트랫(BitRat), 워존랫(WarzoneRat), 스네이크키로거(Snake Keylogger), 로키봇(LokiBot), 콰사랫(QuasarRat), 넷와이어(NetWire), DC랫(DCRat) 등이 다크토르티야와 파트너십을 맺고 있다고 올해 밝힌 바 있다.

사용자들을 무차별적으로 공격한다고 했는데, 표적 공격에도 다크토르티야는 활용된다. 이런 경우 다크토르티야는 주로 피해자의 시스템에 코발트스트라이크(Cobalt Strike)나 메타스플로잇(Metasploit)을 심는 데 활용된다. 코발트스트라이크와 메타스플로잇은 최초 침해 이후의 공격을 실시하는 데 활용되는 해킹 도구다. 그 외에 시큐어웍스는 작년에 발견된 MS 익스체인지 원격 코드 실행 취약점인 CVE-2021-34473을 노리는 다크토르티야 샘플을 1만 개 이상 발견하기도 했다.

다크토르티야는 대단히 위험한 멀웨어라고 보안 전문가들은 강조한다. 유연하여 맞춤형 공격을 실시할 수 있고, 은밀하여 오랜 시간 공격을 유지할 수 있으며, 이미 사이버 공격자들 사이에서 인지도가 높기 때문이다. “또한 다크토르티야의 주력 페이로드는 메모리 내에서만 실행된다는 것도 이 멀웨어를 더욱 위험하게 만드는 특징입니다.”

3줄 요약
1. 다크토르티야라는 멀웨어, 추가 멀웨어 퍼트리는 데 주로 사용됨.
2. 최근 이 다크토르티야가 두 개의 피싱 웹사이트를 통해 퍼지고 있음.
3. 은밀하고 유연하여 탐지도 잘 되지 않고 성능도 뛰어난 편.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>