• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

팬시베어 멀웨어 ‘엑스에이전트’가 업그레이드됐다 2017.12.22

APT28 등으로도 알려진 팬시베어, 멀웨어 한 단계 진화해
암호화 향상, DGA 기능 추가 등, 탐지·방어 훨씬 어려워져

[보안뉴스 오다인 기자] 작년 미국 민주당(DNC) 해킹의 배후로 지목되는 러시아 APT 그룹 팬시베어(Fancy Bear)가 한 단계 진화한 것으로 보인다.

[이미지=iclickart]


팬시베어는 △세드닛(Sednit) △APT28 △소파시(Sofacy)라는 이름으로도 알려져 있다. 최근 팬시베어는 주된 멀웨어 툴인 ‘엑스에이전트(Xagent)’를 개조한 것으로 보인다. 공격이 발각되지 않도록 매우 은밀하게 만들고, 이에 방어가 어렵도록 새 기능을 추가한 것으로 추정된다고 보안업체 이셋(ESET)이 21일 밝혔다.

엑스에이전트는 모듈식 백도어이며 팬시베어 공격의 핵심적인 컴포넌트로 수년 째 활용돼 왔다. 엑스에이전트의 초기 버전은 윈도우 및 리눅스 시스템 해킹 용도로 설계됐으나 지난 2년 간 iOS, 안드로이드를 포함해 올해 초부터는 OS X까지 공격 가능하도록 업데이트돼 왔다.

엑스에이전트의 가장 최신 버전은 4번째 버전으로, 문자열 및 런타임 타입 정보(run-time type information)를 난독화하는 신기술을 장착해 업데이트됐다. 이셋에 따르면, 이 기술은 엑스에이전트의 암호화 능력을 엄청나게 향상시켰다. 팬시베어는 다른 코드도 명령 및 제어(C&C) 목적에서 일부 업그레이드 했으며, 새로운 도메인 생성 알고리즘(DGA: Domain Generation Algorithm) 기능을 추가해 대비용 C&C 도메인을 빠르게 만들도록 설계했다.

이셋의 멀웨어 연구원 토마스 듀푸이(Thomas Dupuy)는 “엑스에이전트라는 모듈러 백도어의 기존 버전도 이미 충분히 복잡했는데 새 버전은 그보다 훨씬 더 복잡해졌다”고 말했다.

이셋의 엑스에이전트 새 기능 분석은 아직까지 완료되지 않았지만, 듀푸이는 새로운 암호화 알고리즘과 DGA 실행 기능은 그 자체로 중대한 것이라고 지적했다. “새 암호화 알고리즘은 멀웨어 분석을 더 어렵게 만들고, DGA 실행 기능은 도메인 환수를 더 어렵게 만듭니다. 환수 또는 압수해야 할 도메인이 더 많아졌으니까요.”

이와 함께 팬시베어는 멀웨어 환경 설정 정보 등 여러 정보를 타깃 시스템 상에서 숨기기 위해 명령을 내부적으로 새롭게 향상시키기도 했다. 엑스에이전트 제작자들은 기존 컴포넌트를 재설계 및 리팩터링해서 이전에 발견된 메커니즘으로 인지되기 어렵도록 조치했다. 최신 버전의 엑스에이전트는 타깃 데스크톱의 스크린샷을 찍는 능력도 갖추고 있다.

듀푸이는 팬시베어가 엑스에이전트 업그레이드를 통해 탐지되지 않을 능력을 향상시켰다고 설명했다. “이 같은 변화들은 분명히 너무 많은 관심을 끌고 싶지 않고, 보안 연구원들에 의해 탐지되지 않고자 하는 시도에서 발생했다고 볼 수 있습니다.”

팬시베어의 전략과 기술은 큰 틀에서 변화하진 않았다. 팬시베어는 여전히 매우 영리하게 제작된 피싱 이메일을 사용해서 타깃들을 악성 도메인에 연결된 링크를 클릭하도록 또는 멀웨어를 다운로드 받도록 유인하는 방식에 크게 의존하고 있다.

팬시베어는 세드킷(Sedkit)이라는 익스플로잇 킷의 사용은 상당 부분 중단한 상태다. 대신, 딜러스초이스(DealersChoice)라는 플랫폼을 점점 더 많이 사용하기 시작했다.

이셋에 따르면, 딜러스초이스는 어도비 플래시 플레이어 익스플로잇이 임베드된 문서를 생성할 수 있다. 딜러스초이스의 한 버전은 타깃 시스템의 플래시 플레이어 버전을 먼저 확인시킨 뒤 이를 익스플로잇 하도록 설계됐다. 또 다른 버전은 C&C 서버와 먼저 통신하게 한 뒤 선별된 플래시 익스플로잇을 보내도록 설계돼 있다.

이전의 세드킷 익스플로잇 킷처럼 딜러스초이스도 국제적인 뉴스들을 샅샅이 뒤진 다음 수신인이 관심 있을 만한 것들을 악성 이메일 안에 언급해주는 형태를 띠고 있다.

듀푸이는 팬시베어가 아직까지 동일한 타깃을 노리고 있는 것으로 추정된다고 말했다. 팬시베어는 전 세계 정부기관 및 대사관을 공격하고 있으며, 동유럽에 특별한 관심을 갖고 있는 것으로 보인다. 팬시베어는 동유럽의 지정학적 상황과 연관된 개인 및 조직들을 자주 공격하고 있다.

대체적으로 팬시베어의 전술, 기술, 절차가 완전히 바뀐 것은 아니지만 감염 기술을 다양화하는 경향이 있다고 듀푸이는 덧붙였다. “새로운 버전은 분석하기 더 복잡해졌습니다. 즉, 엑스에이전트에 대항할 방어력이 떨어졌다고 할 수 있죠.”
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>