• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

심상치 않은 중동, 코퍼필드라는 새로운 멀웨어 등장 2017.12.20

후디니 멀웨어에 기반을 둔 새 멀웨어 코퍼필드
감염된 국가에 대한민국도 포함돼...고급 기술 가진 공격자들 배후에 있는 듯

[보안뉴스 문가용 기자] 최근 중동 쪽의 주요 사회 시설을 겨냥한 사이버 공격이 반복되고 있다. 지난 주 보안 업체 파이어아이(FireEye)가 “구체적으로 밝히긴 어렵지만 중동의 한 기반 시설을 겨냥한 사이버 공격이 있었다”고 발표한 데 이어 이번 주는 또 다른 보안 업체 나이오트론(Nyotron)이 “중동 지역의 사회 기반 시설에 대한 사이버 공격자들의 악성 행위가 있었다”고 경고했다.

[이미지 = iclickart]


나이오트론은 이번 공격자들에 대해 정확히 밝히지 않고 있지만 “사우디아라비아, 이란, 알제리와 관련이 있을 것”으로 보고 있고, “기존 멀웨어를 목적에 맞게 고친 툴을 사용한다”고 했다. 이 툴을 나이오트론은 코퍼필드(Copperfield)라고 명명했다. “코퍼필드는 후디니(Houdini) 혹은 H웜(H-Worm)이라고 알려진 원격 접근 툴(RAT)을 기반으로 만들어졌습니다. 후디니 자체는 이제 4년차 된 꽤나 오래된 멀웨어고요. 코퍼필드의 최초 제작자는 알제리 해커라고 여겨지고, 현재는 악성 USB를 통해 퍼져나가고 있습니다.”

코퍼필드를 활용한 공격자들은 25달러짜리 크립토 툴인 브론코더(Broncoder)를 활용해 후디니의 비주얼 베이직 스크립트 구조와 해시를 변경했다. 시그니처 기반의 안티 멀웨어 솔루션들을 피해가기 위함이었다. 뿐만 아니라 감염된 시스템의 파일들을 숨기기 위해 독특한 방법을 동원하기도 했다. 숨길 파일과 이름이 똑같지만 사실은 악성 속성을 가지고 있는 LNK 파일로 대체시키고 똑같이 생긴 아이콘까지 활용해 사용자가 클릭하도록 유도한 것이다. 클릭 후에는 원래 파일과 똑같은 프로그램 등이 실행되지만 배경에는 악성 명령이 사용자 몰래 돌아가기 시작한다.

코퍼필드는 후디니와 마찬가지로 윈도우 환경에서 활성화되는 자동화 툴이며, 감염시킨 시스템에 대한 완전한 통제권을 가져간다. 그런 후 시스템 정보나 중요 데이터를 수집하고 외부 서버로 전송하며, 키로거 등의 멀웨어를 추가로 다운로드 하고 실행하기도 한다. 자가 업데이트 기능도 가지고 있다.

나이오트론의 CTO인 니르 가이스트(Nir Gaist)는 “코퍼필드가 후디니에서 많은 부분 영감을 얻은 건 확실해 보이지만 훨씬 더 발전된 형태”라고 말한다. “코퍼필드가 활용하는 침투 기술들 중 여태까지 사용되지 않았던 것들도 존재할 정도입니다. 코퍼필드의 최종 목표는 데이터 탈취이며, 특히 사회 기반 시설들에 대한 정보 수집을 집중적으로 진행하는 중입니다.”

나이오트론이 코퍼필드 공격 활동을 발견한 건 이번 달 초의 일이다. 나이오트론의 솔루션을 사용하는 중동의 한 고객사에서였다. “당직을 서던 근무자 한 명이 회사에서 보려고 영화 ‘라라랜드’를 USB에 담아왔는데, 그게 문제의 발단이었습니다. 거기서부터 감염이 시작된 것이죠.” 현재까지 나이오트론이 파악한 바에 따르면 현재 코퍼필드 공격이 발견된 곳은 중동의 이란뿐만이 아니라 중국, 콜롬비아, 대한민국이라고 한다. 지금도 정확한 공격 규모에 대해 파악 중이다.

“코퍼필드 공격자들의 C&C 서버는 현재 사우디아라비아 메카에 있는 것으로 보입니다. 코퍼필드는 C&C 서버에서 전송된 모든 셸 명령을 실행할 수 있습니다. 이 공격자들의 감염 방식이나 흔적 감추는 실력을 봤을 때 수준이 굉장히 높은 것으로 보입니다.” C&C 서버의 위치 상 사우디아라비아의 해커들이 의심되기도 하지만, 멀웨어 코드 내에서 발견된 언어를 보면 이란과 알제리 출신인 것도 같다고 나이오트론은 설명한다.

지난 9월 팔로알토 네트웍스(Palo Alto Networks)는 중동에서 대규모 사이버 공격 인프라를 발견했고, 비슷한 시기 트렌드 마이크로(Trend Micro)는 북미와 중동 암시장에서 각종 해킹 솔루션이 거래되고 있으며 해커들이 빠르게 육성되고 있다는 보고서를 발표한 바 있다. 그러더니 지난 주 파이어아이(FireEye)는 “중동의 한 주요 시설에 해커들이 실제로 침투해 작동을 중단시켰다”고 발표하기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>