여러 가지 방법 동원한 자잘한 공격으로 구성된 캠페인
최종 페이로드는 퀀트 로더...스크립트 언어 활용, 현재 대유행

[보안뉴스 문가용 기자] 피싱 및 소셜 엔지니어링, 취약점 익스플로잇과 난독화를 모두 동원한 공격이 최근 급증하고 있다. 이러한 공격들을 통해 퍼지고 있는 트로이목마가 하나 있는데, 바로 퀀트 로더(Quant Loader)라고 한다. 퀀트 로드는 최초 침입 이후 랜섬웨어 공격이나 비밀번호 탈취 공격을 실시한다.


이는 보안 업체 바라쿠다(Barracuda)가 발표한 것으로, 바라쿠다의 보안 전문가들은 지난 달부터 이러한 공격의 사례들을 발견해 추적해왔다고 한다. “퀀트 로더를 심기 위한 공격은 악성 zip 파일을 동반하는데, 이 압축파일 안에는 확장자가 .url인 MS 인터넷 바로가기 파일들이 들어있습니다. 또한 계산서와 관련된 파일들이라고 피해자들을 속이고 있죠. 하지만 해당 파일들을 클릭하는 순간 원격 스크립트 파일에 접근하게 됩니다.”

공격자들이 활용하는 건 CVE-2016-3353 취약점을 익스플로잇하는 개념증명 도구의 변종으로, 자바스크립트 파일 혹은 윈도우 스크립트 파일에 연결된 링크를 포함하고 있다. 또한 엄청나게 난독화 처리되어 있어 추적이나 탐지 모두 쉽지 않다. 하지만 다양한 난독화 기능 및 복잡한 다운로드 절차의 가장 마지막에는 반드시 퀀트 로더가 피해자의 시스템에 들어가도록 되어 있다.

바라쿠다는 제일 처음 굉장히 작은 규모의 캠페인들이 연쇄적으로 일어나는 것을 발견했다고 한다. “캠페인들이 하루 이상을 가지 않았어요. 도메인도 딱 한 개씩만 사용했었고요. 이 도메인들에는 악성 스크립트 파일과 퀀트 로더의 변종이 호스팅 되어 있었습니다.” 제목 외에는 아무 내용이 없는 이메일에 파일이 첨부된 공격 형태가 발견되기도 했다.

보안 업체 재스크(JASK)의 책임자인 로드 소토(Rod Soto)는 “최근 악성 공격들은 스크립트 언어들을 자주 동반하는 모습을 보여주고, 이번에 발견된 퀀트 로더 공격 역시 마찬가지”라고 말한다. “결국 이 스크립트 언어들을 가지고 익스플로잇을 실행하고 감염에 필요한 페이로드를 피해자 기기에서 실행시킴으로서 브라우저의 표준 보호 장치를 우회하는 것이 핵심입니다.”

스크립트 언어들은 일반적으로 운영 체제가 안전한 것으로 받아들인다고 로드 소토는 설명을 잇는다. “그러므로 실제 파일들보다 덜 위험한 것으로 사용자들 사이에서 받아들여지기도 하죠. 또한 악성 여부를 분석하기 위해서는 실제 코드를 깊숙하게 들여다 보기도 해야 합니다. 이런 방식의 공격이 인기를 끄는 이유가 있습니다.”

소토는 “스크립트 언어를 활용한 최근의 공격 유형도 일종의 파일레스 공격이라고 봐야 한다”고 경고하기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>