블랙문, 세 가지 별개 다운로더를 긴밀히 결합 및 사용
안티 멀웨어 툴 피하고 쉽게 수정 가능토록 설계
언어 전환 쉬워 한국 외 다른 국가도 안전하지 않아

[보안뉴스 오다인 기자] 한국 사용자를 겨냥한 블랙문(Blackmoon) 뱅킹 트로이목마가 최근 새로운 사이버 공격 캠페인으로 다시 등장했다. 안티 멀웨어 툴을 피하려는 공격자들이 전략을 어떻게 지속적으로 개발하고 있는지 잘 보여주는 사례다.

보안 전문업체 피델리스 사이버시큐리티(Fidelis Cybersecurity)는 지난 수개월 간 사이버 범죄자들이 블랙문을 운송하기 위해 “독특하고 흥미로운” 프레임워크를 사용한 것을 지켜봐왔다고 밝혔다. 해당 프레임워크는 멀웨어를 설치하기 위해 세 가지 별개의 다운로더를 긴밀하게 결합 및 사용하는 것으로 드러났다.


피델리스가 이번 주 자사 블로그를 통해 밝힌 바에 따르면, 첫 번째 모듈은 아주 작은 다운로더들로 구성돼있으며 5킬로바이트보다 작은 다운로더들도 있는 것으로 나타났다. 이 다운로더들은 하드코드된 URL에 요청을 보내고 돌아온 데이터를 다운로드 및 실행하는 기능을 수행한다. 다른 두 가지 모듈도 기타 멀웨어 요소들을 다운받고 실행시키는 비슷한 기능을 수행하는 것으로 나타났으며, 별개로 작동하지만 긴밀하게 결합된 방식으로 움직인다.

피델리스의 위협 연구 부회장인 하딕 모디(Hardik Modi)는 여러 요소에 멀웨어를 분해하고 기능을 분산하는 목적은 두 가지인 것으로 보인다고 말한다.

“다단계의 다운로더를 만든 배경에는 탐지를 피하려는 의도가 분명하게 보입니다.” 모디는 설명을 이었다. “또한, 이렇게 모듈러를 만든 건 나머지 요소를 건드리지 않고 특정 요소를 바꾸거나 개선시킬 수 있다는 걸 의미합니다.”

예를 들어, 이런 설계를 통해 멀웨어 제작자는 한국어 사용자에서 다른 언어로 변경하는 등 멀웨어 공격 대상을 쉽게 변경할 수 있다는 뜻이다.

블랙문은 보안 연구자들이 2014년에 처음 보고한 뱅킹 트로이목마다. 기타 뱅킹 멀웨어처럼 블랙문은 사람들이 온라인 뱅킹 계좌나 퇴직금 계좌 같은 곳에 로그인할 때 사용자명과 비밀번호를 훔치려고 설계됐다. 블랙문 멀웨어는 대개 악성 웹사이트와 온라인 광고를 통해, 또는 익스플로잇 킷을 통해 배포됐다.

한때 블랙문은 한국 내 40개 이상의 금융 서비스 웹사이트에서 사용자 웹 크리덴셜을 훔치려는 목적에 집중했다. 삼성페이, 한국 스탠다드차타드, 한국 시티뱅크, 하나금융그룹, KB금융그룹 등의 사용자 등이 공격 대상이었다.

피델리스의 보안 연구자들은 새 프레임워크를 통해 배포된 블랙문의 특정 버전이 지난 7월 한국 내 최소 15만 명의 온라인 뱅킹 크리덴셜을 훔치기 위해 사용됐다고 본다. 연구자들은 “뱅킹 트로이목마 그 자체로는 특별하다고 할 수 없지만 다단계의 프레임워크를 만들어 운송한 점은 이런 종류의 캠페인에서 우리가 흔히 보지 못하는 투자와 혁신 수준”이라고 밝혔다.

지금까지의 멀웨어가 한국 내 사용자들을 겨냥했다고 해서 다른 지역은 안심해도 된다는 걸 의미하진 않는다고 모디는 경고한다. 이번 멀웨어는 제작자가 지리적 대상을 너무도 쉽게 변경할 수 있도록 설계됐으며 기타 국가 사용자들 또한 겨냥하고 있기 때문이다.

모디는 “(피델리스는) 이번 캠페인이 한국의 온라인 서비스들을 겨냥했다는 걸 목격할 수 있었지만 그건 단지 이번 상대가 그랬다는 것뿐이다”고 말한다. “미국의 사업체나 소비자를 대상으로 이번 프레임워크와 멀웨어를 적용시키는 데는 추가적인 장치가 거의 필요하지 않을 것”이라고 덧붙였다.

이번 경우 같은 지역적 캠페인은 언제 그 범위가 확장돼 발발할 것인지 알 수 없다는 점에서 주의 깊게 살펴 볼 필요가 있다. 블랙문의 특정 요소들이 미국을 대상으로 직접 사용되지 않더라도, 한국에서 성공한 전략들이 다른 지역 캠페인에서 향후 적용될 가능성이 높다고 모디는 설명했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>