맞춤형 우회 및 설치 기능에, 화면 캡쳐 기능 등
부끄러울 수 있는 사생활 추적하는 것이 주 목적

[보안뉴스 문가용] 이젠 스카이프(Skype)도 안심하지 못한다. 스카이프 통신을 가로채 맞춤형 백도어 소프트웨어를 설치하는 새로운 멀웨어가 등장했기 때문이다. 해당 멀웨어는 팔로알토 네트웍스(Palo Alto Networks)에서 발견했으며, 이름은 T9000이라고 붙였다. 게다가 이 멀웨어는 백도어 소프트웨어라는 것의 개념을 한 차원 높였다고 한다.


“맞춤형 백도어라고 하면 보통 기능이 매우 제한적입니다. 간단한 코드로 탐지를 비껴가죠. 하지만 최근 들어 백도어들이 변하기 시작했습니다. 가장 눈에 띄는 게 T9000이란 놈입니다.” 팔로알토의 조시 그룬츠베이그(Josh Grunzweig)의 설명이다. “기본적인 기능 외에 공격자들이 암호화된 데이터를 확보할 수 있게 하거나 특정 앱의 스크린샷을 찍을 수 있게 해줍니다. 이런 기능에 가장 많이 당한 앱이 스카이프입니다.”

많은 멀웨어들이 업데이트와 업그레이드를 통해 점점 발전하듯이, T9000 역시 갑자기 툭 튀어나온 ‘뉴 페이스’가 아니다. 이전 버전으로 T5000이라는 게 있었고, 이는 Plat1이란 이름으로도 불린 바 있다. 2013년 사일런스(Cylance)가 발견했다. 이는 사용되었던 멀웨어 코드가 계속해서 재활용되고 있는 최근 추세가 그대로 반영된 것이기도 하다.

팔로알토 네트웍스는 또 T9000이 미국 조직들을 겨냥해 발생한 여러 보안 사고에도 활용이 되었으며, 대부분 ‘표적형 공격’이었다고 설명했다. T9000의 가장 주요한 목적은 표적이 된 피해자의 사생활을 뒤지고 감시해 가장 부끄러운 순간을 포착해 저장하는 것이다. 표적형 공격에 적합한 목적이다. 스카이프의 경우 대화상대, 대화내용, 영상 등을 전부 캡처할 수 있다.

“T9000은 Intel이라는 이름으로 폴더를 만들어서 여러 가지 기능으로 탈취한 파일들을 이 폴더에 저장합니다. 또한 감염시킨 시스템에 대한 데이터를 자동으로 캡처하고 이동식 저장소 등에서 특정 유형의 파일을 찾아 훔치도록 설계되어 있죠.”

T9000은 스피어피싱 공격으로 배포되는 게 보통이다. 특히 악성 RTF 문서를 활용하는 것으로 알려져 있다. 이 악성 문서는 4년 전에 발견된 MS 오피스의 액티브엑스 취약점과 1년 전에 발견된 MS 오피스 메모리 커럽션 취약점을 모두 활용해서 만들어졌다고 피시미(PhishMe)의 션 윌슨(Sean Wilson)은 설명한다.

또한 T9000는 24개의 보안 제품을 ‘탐지’하고 ‘우회’할 수 있는 기능이 있다고 그룬츠베이그는 설명한다. “시스템을 점검해서 그 24개 중 하나가 있으면 그에 맞도록 설치 과정을 스스로 조정합니다. 맞춤형이란 수식어가 아깝지 않을 정도입니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>