1년 전 화제가 됐던 폴리나 취약점이 잊혀지나 했더니 되살아났다. 누군가 폴리나를 이용하여 악성 스크립트와 바이너리를 퍼트리고 있는 것이다. 다만 여기 저기 허술한 점이 보여 대단히 위험해 보이지는 않지만, 첨부파일에 대한 경계심이 없다면 얼마든지 당할 수 있다.

[보안뉴스 문가용 기자] 작년에 발견된 취약점 중에 폴리나(Follina)라는 것이 있다. 일종의 원격 코드 실행 취약점으로, 보안 업계에서 적잖은 관심을 끌다가 서서히 잊혀지는 수순을 밟고 있었다. 그러다가 최근 한 공격자가 이 폴리나를 통해 엑스웜(XWORM)이라는 원격 접근 트로이 목마와 데이터 탈취 멀웨어를 퍼트리고 있는 것이 발견됐다. 주로 피해를 입고 있는 것은 숙박 업체들이었다.


보안 업체 세큐로닉스(Securonix)가 5월 12일 발표한 바에 따르면 공격자는 폴리나 취약점을 통해 파워셸 코드를 피해자의 시스템에 심고 있었다. 이 파워셸 코드는 각종 인터넷 밈과 포챈(4Chan) 관련 자료들로 가득했다. 이 때문에 세큐로닉스의 보안 전문가들은 이 캠페인을 ‘밈포챈(MEME#4CHAN)’이라고 부르고 있다.

밈포챈 공격, 어떻게 흘러가나
밈포챈 공격은 피싱 이메일로부터 시작한다. 이메일 제목은 숙박 업소들이 받을 만한 키워드인 ‘방 예약’과 같은 것들로 구성되어 있다. 이 이메일에는 워드 문서가 하나 첨부되어 있고, 파일 제목은 보통 ‘예약 세부 내용’ 정도로 설정되어 있다.

피해자가 문서를 열 경우 대화상자가 열린다. “다른 파일에 대한 링크가 포함되어 있는데, 해당 파일로부터 데이터를 받아 문서를 업데이트 하겠습니까?”라는 질문이 포함된 것으로, 피해자는 Yes나 No 중에 하나를 클릭하도록 되어 있다. 하지만 뭘 선택하든 워드 문서는 열리며, 그 안에는 프랑스 운전면허증과 직불카드 이미지들이 저장되어 있다.

이 시점에서 밈포챈 공격은 폴리나 취약점을 발동시키게 된다. 폴리나 취약점은 CVE-2022-30190으로, CVSS 기준 7.8점을 받을 정도로 위험한 것으로 분석됐다. 폴리나를 익스플로잇 하는 데 성공할 경우 공격자는 마이크로소프트의 진단지원도구(MDST)를 속여 공격자의 서버로부터 워드 문서를 다운로드 받아 악성 코드를 실행시키도록 만들 수 있게 된다. 폴리나는 작년에 발견돼 곧바로 패치됐다.

폴리나를 익스플로잇하는 위의 첨부 파일은 난독화 처리된 파워셸 스크립트의 다운로드를 시작한다. 이 스크립트는 각종 참고 자료와 밈, 농담으로 가득해, 이 방면에서 제작자가 엄청난 노력을 기울였음을 알게 된다. 툭하면 ‘왜 여자친구는 날 차버렸는가’라고 불평을 하는가 하면, 디렉토리나 변수, 함수에 ‘밈맨(mememan)’이나 ‘샤칼라카붐붐(shakalakaboomboom)’, ‘스텝시스헬프미(stepsishelpme)’와 같은 이름들을 붙이고 있다.

세큐로닉스의 분석가들은 “스크립트를 처음 펼쳐 보면 온갖 잡스런 농담들 때문에 정신이 빠진다”며 “어쩌면 이것은 대단히 교활한 난독화 기술일지 모른다”고 지적한다. “진지하게 분석을 하는 게 힘들 지경이었습니다. 게다가 이들은 난독화 기술을 한 가지 더 차용하고 있었는데, 이 때문에 분석에 여러 가지로 많은 에너지를 들여야 했습니다.”

그렇게 난독화 된 것 중 하나는 닷넷(.NET) 바이너리였고, 이것의 정체는 엑스웜이었다. 세큐로닉스의 부회장인 올렉 콜레스니코프(Oleg Kolesnikov)는 “공격자가 그 무엇보다 난독화에 공을 들였고, 그렇게까지 한 이유는 아직 불투명하다”고 설명한다.

엑스웜?
엑스웜은 ‘원격 접근 트로이목마(RAT)’인데, 그 중에서도 좀 더 ‘맥가이버 칼’과 같은 특징을 가진 멀웨어라고 할 수 있다. 일반적인 RAT들이 하는 모든 기능들인 백신 확인, C&C 서버와의 교신, 백도어 기능 수행, 공격 지속성 확보 등을 수행할 수 있으며, 이를 통해 피해자의 시스템에 교묘히 침투해 여러 정보를 가져갈 수 있다. 동시에 장비의 마이크로폰과 카메라를 장악하고, 키로깅까지 실시하는 등 에스피오나지 공격도 할 수 있다. 심지어 디도스와 랜섬웨어로 공격으로 이어질 수도 있다.

그러나 멀웨어의 품질 자체는 그리 좋지 못하다는 지적도 나오고 있다. 최근 엑스웜의 여러 버전들이 온라인에서 발견되고 있는데, 가장 최근에 나온 것은 3.1이다. 3.1 버전을 깃허브에 공개한 장본인은 엑스웜을 평가절하했다. “현존하는 RAT 중 엉망진창인 것들이 꽤 많은데, 그 중 하나가 엑스웜이다. 이런 걸 돈 주고 구매할 이유가 전혀 없다는 걸 알리기 위해 여기에 무료로 공유한다.”

콜레스니코프도 “유출된 소스코드를 보건데 엑스웜을 고차원적인 멀웨어로 분류하기는 어려워 보인다”는 의견이다. “기능이 다양하긴 하지만 그리 유용하지는 않으며, 상황에 따라 잘 실행되지 않을 것으로도 예상됩니다.”

밈포챈, 누구의 소행인가?
밈포챈의 배후에 있는 인물은 누가 됐든 영어를 모국으로 하는 자일 것으로 보인다. 일단 4챈이라는 커뮤니티가 영어 기반인데, 이곳에서 활발히 활동하고 있는 것으로 짐작되기 때문이다. 그러나 코드 내 일부 자료들에는 인도와 관련된 것들도 있어, 영어를 모국어로 하되 인도 태생이거나 인도인 가족을 가진 자일 것으로도 의심되고 있다. 아니면 단순히 시선을 인도로 돌리기 위한 위장술일 수도 있다.

세큐로닉스의 전문가들은 “이들의 전략이 큰 틀에서 TA558과 비슷하다”고 말한다. “TA558도 숙박 산업을 자주 공략하거든요. 피싱 이메일을 즐겨 사용하고요. 그렇다고 TA558이 배후에 있다고 단언하기는 아직 힘듭니다.” 결국 아직 밈포챈을 실시하는 자가 누구인지 알아내기 힘들다는 것이다. “하나 확실한 건 밈포챈이 아직도 진행되고 있다는 겁니다. C&C 서버 일부가 살아 있거든요.” 밈포챈 공격에 당하지 않으려면 무엇보다 이메일 첨부파일을 열지 않는 것이 중요하다고 세큐로닉스는 강조한다.

3줄 요약
1. 최근 어떤 의미에서 매우 독특한 공격 캠페인이 발견됨.
2. 각종 인터넷 밈과 포챈에서 유행하는 농담들로 가득한 스크립트.
3. 그 스크립트를 다운로드 하는 데 악용되는 폴리나 취약점.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>