워터쿠루피라라는 해킹 조직이 등장해 칵봇과 비슷한 멀웨어를 적극적으로 유포하는 중이다. 이 멀웨어는 칵봇이 사라진 시점에 갑자기 등장해 사이버 공격자들의 필요를 충족시켜주고 있다. 차세대 칵봇이 될 가능성이 높아 보인다.

[보안뉴스 문정후 기자] 블랙바스타(Black Basta)라는 랜섬웨어와 관련이 있는 해킹 단체가 새로운 로더를 가지고 여러 가지 움직임을 보이고 있는 것으로 파악됐다. 이 로더에 신경이 집중되는 건 다름 아니라 악명 높은 멀웨어인 칵봇(Qakbot)과 상당히 유사하기 때문이다. 어쩌면 칵봇을 위협하는, 그러므로 사이버 생태계를 위협하는 새로운 공격 도구가 될 지도 모른다.


이 멀웨어를 제일 먼저 발견한 건 보안 업체 트렌드마이크로(Trend Micro)다. 문제의 해킹 단체의 이름은 워터쿠루피라(Water Curupira)로, 코발트스트라이크(Cobalt Strike)를 적극 활용하는 것으로 알려져 있으며, 이를 통해 결국에는 블랙바스타라는 랜섬웨어를 피해자의 시스템에 심는다고 트렌드마이크로는 설명한다.

워터쿠루피라는 2023년 1사분기에 매우 왕성한 활동력을 보인 바 있다. 그러더니 6월 정도부터 9월까지 휴식기를 가졌다. 그리고는 현재까지 쉼 없이 활동을 이어가고 있다. 현 시점에는 새로운 로더를 확산시키는 데 열중하고 있는데, 이 새 로더의 이름은 피카봇(Pikabot)이다. 피카봇은 공격의 여러 단계들 중 ‘최초 접근’을 담당하며, 여기에 성공할 경우 추가 멀웨어를 다운로드 받아 설치한다. 칵봇과 동일하다. 칵봇의 경우 주로 블랙바스타를 심었었다. 다만 칵봇은 2023년 8월 국제 공조로 인해 현재 나타나지 않고 있다.

“작년 4사분기부터 피카봇의 활동량이 크게 늘어났습니다. 칵봇의 활동량이 확 줄어든 시점부터 치고 올라와 그 빈 자리를 채워넣은 것인데요, 우연일 수도 있지만 강력한 후계자의 등장일 수도 있습니다.” 트렌드마이크로의 설명이다. “워터쿠루피라는 3사분기 초반만 해도 다크게이트(DarkGate)와 아이스드아이디(IcedID)를 유포하는 데 집중했었는데, 어느 시점부터 피카봇에 올인하는 모습을 보이고 있습니다. 칵봇의 대체자로서 피카봇을 강력하게 밀어붙이고 있는 것 아닐까 생각됩니다.”

칵봇은 위에 언급한 것처럼 지난 해 8월 국제 공조 활동으로 인해 서버가 폐쇄되는 등의 부침을 겪었다. 70만 개 이상의 장비에 감염되었지만 지금은 아무런 기능을 발휘하지 못하고 있다. 이따금씩 칵봇의 활동이 여전히 눈에 띄긴 하는데, 가뭄에 콩 나기 수준일 뿐이다. 칵봇에 의존해 여러 공격을 실시하던 해커들이라면 대체제를 원하게 될 수밖에 없는 상황이었다. 그런 가운데 피카봇이 나타난 것. “심지어 블랙바스타 랜섬웨어를 퍼트린다는 것도 칵봇과 비슷하다고 할 수 있습니다. 칵봇을 사용하지 못하게 된 공격자들로서는 고민할 필요도 없는 것이죠.”

‘스레드재킹(thread-jacking)’으로 진짜처럼 보이기
피카봇 캠페인은 피싱 이메일에서부터 시작한다. 이 때 한 가지 특이한 점은 스레드재킹(thread-jacking)이라는 기법이 활용된다는 것이다. 이미 존재하는 이메일 스레드를 공격에 활용하는 것으로, 피해자 입장에서는 이미 누군가와 주고받았던 이메일들의 연속선상에서 피싱 메일이 들어오는 것이기 때문에 가짜인 것을 알아채는 게 쉽지 않다. 계속해서 대화가 이어지는 것처럼 여기기 십상이며, 공격자들도 최대한 과거 대화의 맥락 안에서 가짜 메일을 만들려고 한다.

이 가짜 이메일에는 보통 집(zip) 파일이 첨부되어 있다. 이 집 파일의 압축을 해제할 경우 .img 파일이 하나 피해자의 하드 드라이브에 저장되는데, 가끔 .pdf 파일이 대신 저장되기도 한다. 어느 쪽이든 파일 안에는 강력한 난독화 기술로 감춰져 있는 자바스크립트가 존재한다. 이 압축 파일은 암호를 입력해야만 풀리는데, 암호는 이메일의 본문 안에 존재한다. 파일 이름과 암호는 매우 다양해 일관성이 전혀 없다고 트렌드마이크로 측은 밝혔다.

피해자가 압축을 해제하여 결국 자바스크립트가 피해자의 시스템 안에서 실행될 경우, 여러 명령어들이 연쇄적으로 실행된다. 그리고 가장 마지막에는 파키봇이 외부 서버로부터 다운로드 되고 실행된다. 압축 파일 안에 .img 파일이 있을 경우, 두 개의 파일이 동봉되는데 하나는 .lnk 파일이고 다른 하나는 .dll 파일이다. 전자는 워드 문서처럼 보이게 만들어졌고, 후자는 피카봇의 페이로드다.

이렇게 피카봇이 실행될 준비가 마치면 공격이 시작되는데, 발동 조건이 하나 있다. 러시아어나 우크라이나어가 사용되는 시스템이라면 공격이 시작되지 않는 것이다. 그렇기 때문에 트렌드마이크로는 워터쿠루피라가 이 두 나라와 관련이 깊은 것으로 보고 있다. 그 외의 경우라면 공격이 진행되는데, 제일 먼저 피해자 시스템의 여러 가지 정보들이 공격자의 C&C 서버로 전송된다. 공격자는 그 정보를 바탕으로 시스템에 다시 접근해 추가 공격을 실시한다.

피카봇 멀웨어, 어떻게 방어하나
트렌드마이크로는 이런 피카봇에 대한 경고문을 발표하면서 침해지표도 같이 공개했다. 또한 집 파일이 첨부된 이메일을 기존 이메일 스레드의 연장선상에서 받았을 때, 그리고 이메일 본문에 암호에 대한 언급이 있을 때, 해당 메일을 완전히 무시하거나 안전한 환경에서만 파일을 확인하라고 권한다. “피싱 이메일만 잘 방어해도 공격을 사실상 떨쳐낼 수 있습니다. 피카봇 캠페인은 거의 항상 이메일로부터 시작하니까요.”

또한 트렌드마이크로는 스레드가 이미 형성되어 있는 사람으로부터 다시 이메일이 왔다면, 그 사람에게 다른 방법으로 연락해 이메일을 보냈는지 확인하는 것도 좋은 방법이라고 권한다. “그 외에 OS와 이메일 소프트웨어, 그 외 다른 소프트웨어들을 항상 최신화하는 것도 중요합니다. 중요한 데이터는 주기적으로 백업하는 것도 잊지 말고요.”

3줄 요약
1. 지난 8월에 국제 공조로 폐쇄됐던 멀웨어, 칵봇.
2. 이 칵봇이 사라지자마자 갑자기 등장한 피카봇.
3. 피카봇, 현재까지는 칵봇의 후예로 자리를 잡을 듯한 분위기.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>