요약 : 보안 외신 핵리드에 의하면 구글 쉬트(Google Sheets)라는 서비스를 악용하는 새 멀웨어가 발견됐다고 한다. 이름은 볼드모트(Voldemort)라고 하며, 피싱 이메일을 통해 빠르게 전 세계로 퍼져나가는 중이라고 한다. 이미 2만 개 이상의 피싱 메일을 통해 70개 이상의 조직들을 감염하려는 시도가 발견됐는데, 이 캠페인은 아직도 진행되고 있다. 많으면 하루에 6천 개 이상의 이메일이 발송되기도 한다. 캠페인은 8월 5일부터 시작된 것으로 추적되고 있다. 피싱 이메일은 세금과 관련된 기관이나 조직에서부터 발송된 것처럼 꾸며져 있으며, 여기에 포함된 링크를 타고 들어가면 문서를 열람할 수 있게 되어 있다. 피해자가 문서 열람을 선택할 경우 PDF 파일로 위장된 ZIP 파일이 실행되며, 볼트모트가 다운로드 및 실행된다. 볼트모트는 시스템에서 여러 정보와 파일을 탈취해 원격의 C&C 서버로 전송한다.


배경 : 볼트모트의 가장 특이한 점은 구글 쉬트를 사용해 원격 C&C 서버와 통신을 한다는 것이다. 구글 쉬트를 통해 시스템의 각종 정보를 보내고, 또 구글 쉬트를 통해 여러 가지 명령을 전달 받는다. 볼트모트는 파일 다운로드, 프로그램 실행 등의 명령을 받아 처리할 수 있는 것으로 분석됐다. 아쉽게도 아직까지 볼트모트의 배후 세력에 대해서는 분석된 바가 없다.

말말말 : “볼트모트는 다양한 테크닉을 총망라하고 있는 멀웨어입니다. 이 때문에 사이버 범죄자가 한 것인지, APT 조직이 개발해 사용하고 있는 것인지 확실히 알 수가 없습니다. 이런 상황이 계속해서 나오고 있습니다. APT 조직과 사이버 범죄 조직 간의 구분이 갈수록 힘들어집니다.” -핵리드-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>