구글 플러스, 페이스트빈, bit.ly 등 활용한 공격...침투 기법 도 네 가지
하지만 기능성에는 제한 있어...실험 및 개발 중에 있는 것으로 보여

[보안뉴스 문가용 기자] 구글 플러스, 페이스트빈, bit.ly를 활용한 표적형 사이버 공격이 확산되고 있다. 공격 대상은 주로 팔레스타인 영역 내에 있는 개인 및 단체들이다. 이 공격 캠페인을 발견한 건 보안 업체 팔로알토 네트웍스(Palo Alto Networks)이고, 이 공격에 탑햇(TopHat)이라는 이름을 붙였다.


팔로알토에 따르면 탑햇은 아랍어로 된 가짜 문서를 동반하고 있으며, 해당 문건은 현재 중동과 팔레스타인 지역에서 벌어지는 각종 정치적인 내용을 담고 있는 것처럼 위장되어 있다고 한다. 하지만 문서를 여는 순간 스코트(Scote)라는 멀웨어가 시스템에 설치된다고 팔로알토는 경고했다.

팔로알토에 의하면 스코트 멀웨어는 공격자들에게 백도어를 제공하는 것으로, 페이스트빈 링크와 구글 플러스의 프로파일로부터 C&C 정보를 수집하는 특징을 가지고 있다. 또, C&C URL을 가리기 위해 bit.ly라는 URL 단축 서비스를 활용하기 때문에 피해자들은 링크만 보고는 진위 여부를 파악할 수가 없다.

공격이 실행되는 전략은 크게 네 가지로 볼 수 있다. 악성 RTF 파일을 사용한 기법이 두 개, 자가 압축 해제를 실시하는 윈도우 실행 파일을 사용한 기법이 한 개, RAR 압축 파일을 사용한 방법이 한 개다.

악성 RTF 파일은 크게 두 가지인데(그래서 전략도 두 가지로 분류되었다) 하나는 악성 사이트로의 HTTP 요청을 전송하는 기능을 가지고 있고, 다른 하나는 CVE-2017-0199라는 워드 취약점을 익스플로잇하는 기능을 가지고 있다. CVE-2017-0199는 원격 실행 취약점으로 2017년 9월에 MS가 패치한 바 있다.

다른 한 가지 공격 기법은 DKMC라는 툴킷을 활용한 것으로, 이는 Don’t Kill My Cat의 약자다. 공격자가 셸코드가 포함되어 있는 정상적인 비트맵 파일(BMP)을 로드해 자가 압축 해제 기능을 가진 실행 파일을 실행시키는 것이며, 해당 실행파일에는 가짜 악성 문서와 스코트의 인스턴스가 모두 포함되어 있다.

하지만 다양한 침투 전략을 보유한 것과 달리 스코트라는 멀웨어 자체의 기능은 한정적이라고 팔로알토는 설명한다. 즉 기껏 침투시켜 놨지만 공격자들이 할 수 있는 일이 크게 없다는 것이다. 이에 대해 팔로알토는 “아직 개발 중일 확률이 높다”고 풀이한다.

탑햇 공격은 지난 2016년 1월 보안 업체 클리어스카이(Clearsky)가 발견한 더스티스카이(DustySky) 공격과 겹치는 부분이 상당히 많은 것으로 보인다. 당시에도 더스티스카이 공격은 ‘실험용’ 멀웨어인 것으로 판명이 났으며, 가자 지구에서 활동하는 사이버 공격자들이 개발하거나 사용 중인 것으로 밝혀졌다.

한편 탑햇 공격자들의 신원은 아직 밝혀지지 않았다. 하지만 팔레스타인 인물이나 단체가 표적인 것으로 봐 이스라엘이나 이스라엘에 친화적인 단체일 가능성이 높게 점쳐지고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>