‘디펜드낫’(defendnot) 도구 사용해 윈도우 보안 센터 속여

[보안뉴스 김형근 기자] 최근 러시아를 겨냥한 암네시아 원격 접근 트로이목마(Amnesia RAT)와 랜섬웨어를 결합한 다단계 피싱 공격 캠페인을 포티넷이 포착했다.


회계 업무용 파일처럼 정교하게 위장한 LNK 파일을 배포, 사용자가 실행하는 즉시 악성 파워쉘 스크립트가 작동하기 시작한다. 공격자는 깃허브와 드롭박스 같은 클라우드 서비스를 활용해 페이로드를 분산 배치해 보안 솔루션의 탐지를 피했다.

특히 ‘디펜드낫’(defendnot) 도구를 사용해 윈도우 보안 센터를 속이고 마이크로소프트 디펜더를 무력화한 점이 주목된다. 본래 디펜드낫은 윈도우 보안 시스템을 우회할 방식을 제시하기 위한 목적으로 개발된 연구자용 도구였다.

보안 프로그램이 해제된 시스템에서 악성 스크립트는 정찰 활동을 시작하며, 30초마다 화면을 캡처해 텔레그램 봇을 통해 공격자에게 전송한다.

이후 드롭박스에서 내려받은 암네시아 RAT이 웹 브라우저 비밀번호, 암호화폐 지갑, 스팀, 디스코드 정보를 탈취한다. 이 RAT는 원격 제어와 마이크로폰 도청, 웹캠 촬영 기능까지 갖추고 있어 개인의 사생활을 감시하고 정보를 탈취한다.

정보 탈취가 완료되면 공격은 랜섬웨어 단계로 넘어간다. ‘하쿠나 마타타’(Hakuna Matata) 계열 랜섬웨어가 시스템 내부 파일을 암호화한다. 이 랜섬웨어는 클립보드를 감시하다가 사용자가 입력하는 암호화폐 주소를 공격자의 지갑 주소로 몰래 바꿔치기하는 기능도 갖고 있다.

공격 마지막 단계에선 윈로커(WinLocker)를 배포해 사용자의 컴퓨터 조작을 심각하게 제한하고 시스템을 완전히 인질로 잡는다.

카라 린 포티넷 연구원은 “이번 공격이 소프트웨어 취약점이 아닌 윈도우의 정상 기능을 악용했다는 점에 주목해야 한다”고 경고했다.

한편, 러시아 기업의 인사 및 급여 담당 부서를 표적으로 삼아 ‘듀퍼러너’(DUPERUNNER) 악성 코드를 심는 ‘오퍼레이션 듀프하이크’(Operation DupeHike) 작전도 지난 연말부터 기승을 부리고 있다. 또 ‘페이퍼 웨어울프’(Paper Werewolf)라는 조직은 AI로 생성한 정교한 미끼 문서를 활용해 에코개더(EchoGather) 백도어를 퍼뜨리는 활동을 전개 중이다.

마이크로소프트는 이러한 위협에 대응하기 위해 사용자에게 변조 방지(Tamper Protection) 기능을 활성화할 것을 권고했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>