변화무쌍한 멀웨어, 약간의 활용 변화로 공격 효율 높여
매크로로 클릭 유도 통한 감염...표적형 이메일 공격과 합쳐져

[보안뉴스 문가용 기자] 지난 2년 동안 세계 곳곳에서 시스템을 감염시켜왔던 코브터(Kovter)라는 멀웨어 샘플을 연구하면 공격자들이 도대체 어떻게 해서 항상 방어자보다 앞서갈 수 있는지 어렴풋이 알 수 있다. 코브터는 약 2년 전에 출현한 멀웨어로 처음에는 화면을 잠그고 FBI나 경찰 수사국인 것처럼 위장해 사용자를 협박하는 기본 방식을 탑재하고 있었다.


여기에 각종 범죄자들이 다양한 ‘응용 범죄’를 시도했는데, 클릭 사기, 멀버타이징, 데이터 암호화 랜섬웨어와 결합되거나 추가 멀웨어 설치 툴로서 활용되는 게 대표적이었다.

한편 코브터를 활용한 범죄자들은 코브터를 퍼트리는 데에도 다양한 방법들을 동원해 탐지 기법들을 조롱해왔다. 파일은 없고 메모리와 시스템 레지스트리에서만 운영되다가 사라지는 방식의 공격 방식을 제일 먼저 선보인 것도 이들이라고 알려져 있고(논란의 여지가 아직 있긴 하다), 파이어폭스나 크롬 업데이트, 자바스크립트 다운로더처럼 가장해 사용자를 속이는 방법도 활용한 전적이 있다.

보안 전문업체인 모피섹(Morphisec)은 최근 이런 코브터가 새로운 ‘응용 기법’을 추가했다는 소식을 커뮤니티에 알려왔다. “지난 주, 약 4일에 걸쳐 문서의 악성 매크로 기능을 통해 코브터가 퍼지는 걸 상당히 많이 포착했습니다. 이 경우 표적형 이메일 공격 또한 동반되고 있다는 사실이 밝혀졌습니다.”

지난 7~8월에도 코브터가 대규모로 극성을 부린 적이 있다. 하지만 그 경우 코브터는 크롬이나 파이어폭스 업데이트 파일인 것처럼 위장을 했지, 문서의 악성 매크로로 작동되는 건 아니었다. 모피섹의 부회장인 마이클 고렐릭(Michael Gorelik)은 “감염되려면 매크로 기능을 활성화한 채 문서 내 이미지도 클릭을 해야 한다”고 감염 방식을 설명했다.

이런 복잡한 방식은 언뜻 생각했을 때 효율이 떨어질 거 같지만 보안을 위한 샌드박싱 기술을 우회하는 데에 매우 효과적이라고 한다. 악성 매크로 작성자들은 이미지 편집에 암호를 걸어두기도 해서 샌드박스가 자동으로 매크로 기능을 매핑하지 못하도록 해놓기도 했다.

클릭 시 발동이 되는 실행 방식을 취했다는 것만이 이번 변신의 전부가 아니다. 최근 코브터가 활용된 공격에서 매우 고도화된 표적 이메일 공격이 동원된 것이 발견된 것인데, 이는 위의 복잡한(이미지를 클릭해야만 발동) 감염 메커니즘을 보완하기 위한 것으로 보인다. 즉 피해자가 완전히 속아 매크로 파일을 열고 이미지를 반드시 클릭하도록 하려면 특정 인물을 대상으로 한 표적형 공격이 보다 효율이 높다는 걸 이용한 것이다.

그래서 이번 코브터 변종을 활용한 공격자들은 피해자들의 실제 이름과 직책, 회사 이름 등을 정확히 알고 있을 확률이 높다고 고렐릭은 설명한다. “가장 많이 활용되는 패턴은 영수증 및 인보이스 메일인 것처럼 가장한 것이었습니다. 피싱 메일 공격에 원래부터 많이 활용되던 기법이죠.”

메일 본문은 첨부된 영수증에 대한 매우 그럴듯한 설명이 ‘급히 처리되어야 한다’는 뉘앙스로 적혀 있었다고 고렐릭은 설명한다. 관련 보고서는 여기서 열람이 가능하다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>