• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

남미의 은행들 노리는 새로운 멀웨어 토이토인, 복잡한 연쇄 공격 실시한다 2023.07.11

탐지 기술을 회피하겠다는 일념으로 만들어진 듯한 멀웨어가 새롭게 등장했다. 들키지 않으려고 온갖 장치들을 겹겹이 마련하고 있다. 그런 후 유유히 피해자의 각종 정보를 빼돌린다. 아직은 남미에서 피해를 입고 있는데, 언제 다른 지역으로 퍼질지 모른다.

[보안뉴스 문정후 기자] 강력하면서 회피 확률이 좋은 멀웨어 캠페인이 발견됐다. 남미 지역 기업들을 대상으로 펼쳐지고 있는데, 공격자들은 여러 단계에 걸쳐 피해자들을 감염시키며 궁극적으로는 새로운 트로이목마를 심는 것을 목표로 삼고 있다. 이 트로이목마는 토이토인(Toitoin)이라고 불리며, 피해자 시스템과 관련된 정보와 금융 정보를 수집하는 기능을 가지고 있다고 한다.

[이미지 = gettyimagesbank]


이 캠페인을 처음 발견한 건 보안 업체 지스케일러(Zscaler)의 연구원들로, 공격자들은 공격이 진행되는 모든 단계에서 자기들이 직접 만든 모듈들을 활용하는 것으로 보인다. 각종 모듈을 통해 사용자 계정 제어 장치를 피해가고 원격에서 프로세스들에 악성 코드를 주입하기도 한다. “모듈들마다 다양한 탐지 회피 기술과 암호화 기술을 선보이고 있습니다. 따라서 탐지가 어렵고 추적도 어렵습니다. 아마존의 EC2 서비스에 멀웨어를 zip파일 형태로 호스팅하고 있기도 한데, 이 역시 탐지를 어렵게 만듭니다.”

EC2 인스턴스들을 활용할 경우 공격자들은 도메인 기반의 탐지 기술을 농락할 수 있게 된다. 집 아카이브 파일을 사용할 때도 그냥 파일을 압축하는 것이 아니라 파일 이름을 매번 무작위로 붙여둔다. 보기에 따라 매번 새로운 파일이 다운로드 되는 것처럼 보이기도 하며, 따라서 특정 탐지 기술들은 무력화되기도 한다. “EC2도 탐지 회피 기술, 집 파일도 탐지 회피 기술, 집 파일의 이름을 붙이는 것도 탐지 회피 기술입니다. 3중으로 탐지 회피 장치를 심은 것이죠.”

이렇게 정성스럽게 탐지 기술들을 피해서 가장 마지막에 시스템에 심기는 것은 위에서 언급했던 토이토인이다. 설치된 후 토이토인은 피해자의 시스템 정보를 수집한다. 그 다음 시스템에 설치된 브라우저들과 관련된 정보들을 수집하고, 남미 금융권에서 널리 사용되는 사기 방지 모듈인 토파즈 OFD 프로텍션 모듈(Topaz OFD Protection Module)이 있는지 확인한다. 이 모든 정보들은 공격자의 C&C 서버로 전송된다.

이메일부터 최종 트로이목마까지...6단계
지스케일러 측은 공격자들이 남미 지역의 유명한 투자 은행으로 보내는 피싱 메일을 하나 확보할 수 있었다. 이것이 바로 첫 단계 공격이다. 여기서 공격자들은 지불 관련 문제가 발생했다며, 뭔가 다급한 상황인 것처럼 꾸며 피해자가 이메일의 버튼을 눌러 인보이스나 영수증을 열람하도록 유도한다. 피해자가 이를 누를 경우 연쇄작용이 일어나며 피해자의 시스템에는 집 앝카이브가 하나 다운로드 된다.

이 집 아카이브는 또 다른 연쇄작용을 일으키는데, 그 끝에는 토이토인이 있다. 아카이브에서부터 토이토인에 이르기까지 총 6단계의 공격이 실시되는데, 다운로더 멀웨어를 비롯해 각종 모듈들이 자기 역할을 수행한다. 로더, 인젝터, 권한 상승, UAC 우회 등의 모듈들이 공격자가 정한 차례대로 등장한다. 보통은 로더 모듈이 인젝터 모듈을 불러오고, 인젝터 모듈은 권한 상승 모듈을 주입하며, 이 권한 상승 모듈은 샌드박스를 우회하여 토이토인을 로딩하거나 필요할 경우 또 다른 모듈을 다운로드 받아 실행시킨다.

“멀웨어 페이로드는 정상적인 프로세스들에 주입됩니다. explorer.exe나 svchost.exe와 같은 프로세스들이 대표적이죠. 이렇게 함으로써 피해자의 시스템에서 탐지될 확률이 낮아지며, 오래 머무를 수 있게 됩니다. 오래 머무를수록 더 많은 정보를 가져갈 수 있게 되고요.” 지스케일러의 설명이다. “토이토인은 시스템 정보, 금융 정보, 특정 금융권 모듈 유무 정보 등을 훔쳐내거나 생성하는 멀웨어입니다. 들키지 않을수록 유리합니다.”

이 공격, 어떻게 막나?
이러한 공격을 막으려면 사이버 보안을 종합적으로 강화시켜야 한다고 지스케일러는 주장한다. 네트워크 모니터링을 지속적으로 해야 하고, 피싱 이메일에 속지 않도록 직원들을 주기적으로 교육해야 하며, 늦지 않는 패치를 통해 취약점 익스플로잇이 최대한 덜 발생하도록 해야 하는 등 일반적이지만 중요한 일들을 빠짐없이 해야 한다는 것이다.

제로트러스트를 도입하는 것도 큰 도움이 된다. “요즘 사이버 공격자들은 연쇄적으로, 혹은 다단계로 공격을 실시하여 기존 탐지 기술들을 효과적으로 피해갑니다. 그렇기에 제로트러스트를 도입해 각종 보안 장치들이 모든 단계를 확인하고 또 확인할 수 있도록 해야 합니다. 이렇게 되면 다단계 공격을 실시하는 게 까다로워지죠. 해도 걸릴 확률이 높고요.”

글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>