각종 문서 파일에 담긴 다양한 멀웨어...RTF, PPT, PPSX 등
패치워크, 기존 툴과 솔루션 자신들의 목적에 맞게 커스터마이징 하는 것으로 유명

[보안뉴스 문가용 기자] 보안 업체 트렌드 마이크로(Trend Micro)가 패치워크(Patchwork)라는 사이버 스파이 조직에 대한 상세 내용을 공개했다. 패치워크는 중국과 동남아 국가의 다양한 인물과 조직들을 표적 삼아 관찰, 감시하는 전형적인 스파잉 단체로, 이따금 영국과 터키, 이스라엘도 공격 대상에 포함시킨다고 한다. 기업체들도 노리는 모습을 보이지만, 금전적인 목적을 가졌다기보다 민감한 정보 및 기밀들을 노리는 것으로 보인다.


패치워크가 주로 사용하는 공격 기법은 스피어피싱이다. 보통 멀웨어가 호스팅 되어 있는 악성 웹사이트로 가는 링크 주소가 본문에 포함되어 있거나 악성 첨부파일이 포함되어 있다. 도메인 이름은 정상 웹사이트 주소와 흡사하다. 중국판 유튜브인 유쿠투도우(Youku Tudou)와 비슷한 웹사이트를 만들어 피해자들을 유혹하기도 했다. 이 가짜 유쿠투도우에 접속하면 영상 시청에 필요한 어도비 업데이트 파일을 받으라고 나오는데, 사실 이는 xRAT 트로이목마의 변종이다.

최근 트렌드 마이크로는 패치워크를 추적하다가 그들이 실수로 열어둔 디렉토리를 하나 발견했고, 거기에 수많은 문건을 발견했다고 블로그를 통해 밝혔다. 이 문건들은 정치, 사회적인 주제의 제목과 내용을 가지고 있었고, 멀웨어들이 덕지덕지 붙어 있었다. 그 문건들 중 일부를 정리하면 다음과 같다.

1) 원격 코드 실행 취약점인 CVE-2012-1856을 익스플로잇 하는 RTF 파일. 이 취약점은 2012년 8월에 패치됐다.
2) 이른바 샌드웜(Sandworm)이라고 하는 CVE-2014-4114 취약점을 익스플로잇 하는 파워포인트 오픈 XML 슬라이드 쇼(PPSX) 파일. 이 취약점은 2014년 10월에 패치됐다.
3) 원격 코드 실행 취약점인 CVE-2017-0199를 익스플로잇 하는 파워포인트(PPT) 파일. 이 취약점은 2017년 4월에 패치됐다.
4) 원격 코드 실행 취약점인 CVE-2017-8570을 익스플로잇 하는 PPSX 파일. 이 취약점은 2017년 7월에 패치됐다.
5) 메모리 커럽션 취약점인 CVE-2015-1641을 익스플로잇 하는 RTF 파일. 이 취약점은 2015년 4월에 패치됐다.

이들은 이러한 문건 중에 어떠한 페이로드를 심었을까? 이 역시 정리하면 다음과 같다.
1) xRAT : 원격 접근 툴로 소스코드는 깃허브에 공개되어 있다.
2) NDiskMonitor : 패치워크가 직접 만든 것으로 보이는 백도어로 감염시킨 기기 내 파일과 드라이브를 목록화한다.
3) Socksbot : 모듈로서 실행되는 DLL로, SOCKS라는 프록시를 만들고 스크린샷을 찍는다. 또한 파워셸 스크립트들을 작성하고 실행할 수 있다.
4) Badnews : 강력한 정보 탈취 및 파일 실행 기능을 가지고 있는 백도어로, USB 기기들에 대한 모니터링도 가능하다.
5) 파일 탈취기 : Taskhost와 Wintel이라는 탈취 솔루션은 마이크로소프트 워드, 엑셀, 파워포인트 문서를 주로 공략한다. PDF와 RTF 파일도 공격 가능하다.

트렌드 마이크로는 2017년 한 해 동안에만 패치워크가 사용한 것으로 보이는 IP 주소와 도메인 이름을 약 30~40개 찾아냈다. 일부는 C&C 서버로서 활용되고 있었고, 일부는 가짜 웹사이트를 호스팅하는 데에 사용됐다.

패치워크의 공격을 막아내려면 어떻게 해야 할까? 트렌드 마이크로는 패치워크에 대해 “이미 존재하는 툴과 멀웨어를 자신들만의 것으로 만들어 새롭게 고쳐 사용하는 것으로 유명한 그룹”이라며 “기존 탐지 시스템으로는 파악해내기 힘들다”고 경고한다. “그러므로 방어 체계를 여러 단계에 거쳐 구축해야 합니다. 게이트웨이에서 엔드포인트까지, 그리고 네트워크에서 서버까지 말이죠.”

트렌드 마이크로가 권장하는 방어법 1순위는 ‘업데이트’다. 오래된 시스템이라면 가상 패치를 적용하는 것도 도움이 될 것이라고 트렌드 마이크로는 권장한다. 방화벽과 샌드박스, 침임 탐지 및 방지 시스템도 마련해 경보가 울리도록 하고, 사용자 권한을 최소한의 인원에게 허락하는 제도 및 정책도 도입시켜야 한다. “패치워크는 이미 공개된 취약점들을 주로 익스플로잇 합니다. 이점을 간과해서는 안 됩니다.”

트렌드 마이크로는 패치워크의 기술적인 배경에 대해서는 이 문건(https://documents.trendmicro.com/assets/tech-brief-untangling-the-patchwork-cyberespionage-group.pdf)을 통해 서술하고 있고, 침해지표는 이 문건(https://documents.trendmicro.com/assets/appendix-untangling-the-patchwork-cyberespionage-group.pdf)을 통해 설명하고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>