정체가 분명히 밝혀지지 않은 해킹 조직이 다양한 수단을 가리지 않고 사용해 멀웨어를 퍼트리고 있다. 극히 평범한 공격을 하지만, 전술이 워낙 다양하기 때문에 막기가 까다롭다.

[보안뉴스 문가용 기자] 지난 가을, 정체를 알 수 없었던 해킹 그룹 하나가 다양한 소셜 엔지니어링 캠페인을 벌이기 시작했다. 미국과 캐나다의 다양한 산업군에 속한 조직들을 무차별적으로 겨냥한 캠페인이었고, 공격자의 목적은 다크게이트(DarkGate)라는 멀웨어로 시스템을 감염시키는 것이었다.


보안 업체 프루프포인트(Proofpoint)는 이번 주 자사 블로그를 통해 “그 해킹 그룹이 새롭게 등장한 자들인지, 이전부터 있었던 단체인지 확실히 말하기는 여전히 어렵다”고 밝혔는데, 그 이유는 “현존하는 거의 모든 전략과 기술들을 다양하게 활용하고 있기 때문”이라고 설명했다. 프루프포인트는 이 그룹에 배틀로얄(BattleRoyal)이라는 이름을 붙이고 추적하는 중이다.

배틀로얄이 다크게이트(최근에는 넷서포트(NetSupport))를 피해자의 시스템에 심기 위해 사용하는 전략은 다음과 같다.
1) 피싱 이메일
2) 스팸 메일
3) 가짜 브라우저 업데이트
4) 트래픽 분포 시스템(TDS)
5) 악성 VB스크립트
6) 스테가노그래피
7) 윈도 디펜더 취약점 익스플로잇

배틀로얄의 전략
배틀로얄은 종종 가짜 브라우저 업데이트를 통해 소셜 엔지니어링 공격을 실시하곤 하는데, 프루프포인트가 제일 먼저 이런 유형의 공격을 발견한 건 지난 10월 중순의 일이었다. 당시 이러한 공격 캠페인에 로그래티케이트(RogueRaticate)라는 이름을 붙이기도 했다. 공격자는 자신들이 은밀히 제어하는 도메인들에 콘텐츠 스타일시트(CSS) 스테가노그래피 기법을 활용하여 요청들을 주입하는 방법을 활용하고 있었다.

하지만 이는 말 그대로 ‘종종’ 사용되는 전략일 뿐, 배틀로얄이 정말로 좋아하는 전략은 전통적인 이메일 피싱이다. 지난 9월부터 11월 사이에만 최소 20번 이상의 피싱 메일 캠페인을 진행하기도 했었다. 총 수십만 통의 피싱 이메일이 이 기간 사이에 발송됐다.

그렇다고 이들의 피싱 이메일 하나하나가 대단히 특별한 건 아니다. 오히려 평범하기 짝이 없는 피싱 이메일들이 많이 사용된다. “최근 공격자들은 피싱 공격을 실행할 때 트래픽 분포 시스템(TDS)을 자주 활용합니다. 배틀로얄도 마찬가지입니다.” 프루프포인트의 수석 첩보 분석가인 셀레나 라슨(Selena Larson)의 설명이다. “공격자들이 TDS를 활용하면 봇이나 보안 분석가의 컴퓨터가 아니라 자신이 원하는 종류의 컴퓨터들을 노릴 수 있게 됩니다. 최근에는 404TDS와 케이타로(Keitaro) TDS가 인기가 높은 편이며, 배틀로얄 역시 이 두 개를 자주 씁니다.”

배틀로얄은 MS 디펜더 스마트스크린에서 발견된 고위험도 취약점인 CVE-2023-36025도 익스플로잇 하여 공격한다. 재미있는 건 스마트스크린이 윈도 사용자들이 피싱 공격에 당하지 말라고 MS가 만들어 둔 도구라는 것이다. “하지만 피싱 공격자들이 오히려 피싱 공격을 위해 이용하는 것이 되어버렸습니다. 패치를 적용하면 다시 정상적인 피싱 방지 도구가 되지만요.” 그 외에도 배틀로얄은 CVE-2023-36025라는 제로데이 역시 익스플로잇 하는 것으로 분석됐다.

다크게이트의 높은 인기
이런 저런 전략을 통해 공략 당한 피해자가 어디 하나에 속아 이들이 보낸 링크를 클릭하거나 파일을 열면 악성 VB스크립트가 다운로드 되며, 이 스크립트는 여러 셸 명령을 연쇄적으로 실행한다. 이 셸들이 순차적으로 실행되면 제일 끝에 다크게이트가 설치된다.

다크게이트는 로더이기도 하고, 암호화폐 채굴 코드이기도 하며, 원격 접근 트로이목마이기도 하다. 이 세 가지가 다 합쳐진 게 다크게이트다. 약 5년 전부터 발견되어 왔으나 지난 10월 갑작스럽게 사용량이 급증하는 모습을 보여주었다. 다크게이트의 개발자가 일부 공격 단체들에 자신의 작품인 다크게이트를 싼 값에 대여해준 것으로 의심된다. 실제로 몇몇 해킹 포럼에 다크게이트 광고가 자주 나타나기도 했었다. 프루프포인트는 “배틀로얄 외에 TA577과 TA571 역시 다크게이트를 적극 활용하고 있다”는 것을 알아냈다고 한다.

그러다가 약 한 달 전 배틀로얄은 다크게이트 대신 넷서포트를 활용하기 시작했다. 넷서포트는 원격 접근을 가능하게 해주는 합법적인 도구로, 레드 팀들도 주로 사용하지만 요즘에는 해커들이 더 많이 사용하는 것으로 보인다.

“아직 배틀로얄이 왜 다크게이트를 넷서포트로 대체했는지는 잘 모르겠습니다. 어쩌면 누구나 다크게이트를 쓴다고 봐도 될 정도로 인기가 높아져서 다른 노선을 취한 것일 수도 있습니다. 공격자들 사이에서 인기가 높아지면 보안 업계에서도 인기가 높아지거든요. 그러면 탐지가 더 잘 되게 되고, 공격을 성공시키기가 어려워집니다. 그런 상황을 미리 피하고자 한 것일 가능성이 높다고 봅니다.”

3줄 요약
1. 새로운 공격자인가, 아니면 기존 공격 그룹인가 알 수 없는 공격자 등장.
2. 갖은 방법 동원해 다크게이트라는 멀웨어 심으려 애씀.
3. 최근 다크게이트가 유행하기 시작하면서 이 공격자는 넷서포트로 바꿈.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>