• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

악명 높은 멀웨어의 후계자, 베가 스틸러 등장 2018.05.14

아직 실험 중이거나 소수의 표적들만 노리고 있는 듯
그 뿌리에 여러 멀웨어들 있어...“지금 단계에서 끝나지 않을 것”

[보안뉴스 문가용 기자] 볼륨이 낮은 데이터 탈취 공격이 탐지되어 보안 업체 프루프포인트(Proofpoint)가 발령했다. 도소매 및 생산 기업들이 주요 목표인 것으로 보이는 가운데 마케팅, 광고, 홍보 회사들에도 피해가 누적되고 있는 상황이라고 한다.

[이미지 = iclickart]


이메일 보안을 전문으로 하는 프루프포인트는 보고서를 통해 위에 언급한 공격에서 베가 스틸러(Vega Stealer)라는 멀웨어가 탐지되었다고 밝혔다. 저장된 크리덴셜, 신용카드 정보, 프로파일 정보 등을 크롬과 파이어폭스 브라우저에서 훔치는 기능을 가지고 있다고 한다. 그밖에 다른 민감한 정보를 훔치는 기능도 일부 목격된 바 있다.

베가 스틸러는 2016년 TA530이라는 위협 단체가 사용했던 멀웨어인 오거스트 스틸러(August Stealer)와 관련이 있는 것으로 보인다. 오거스트 스틸러는 도소매 산업의 기업들이 가지고 있던 관리 및 고객 정보를 노리고 활동했다. 베가 스틸러의 경우 오거스트 스틸러와는 다르게 ‘표적형’ 공격을 실시한다.

“스팸 이메일 제목에 ‘온라인 스토어 개발자’라는 표현이 있습니다. 누구나 다 볼 수 있는 공격을 하는 게 아니라 특정 부류의 사람들만 관심을 가질만한 제목을 썼다는 건, 표적의 범위를 줄였다는 뜻이죠.”

이 이메일들에는 악성 첨부파일이 들어있었다. 이름은 brief.doc으로, 베사 스틸러를 다운로드 하는 악성 매크로를 가지고 있었다. 일부 표적이 된 조직의 개개인들 외에도 info@나 publicaffairs@와 같은 외부인 접속 채널들에도 같은 이메일이 뿌려졌다. 이는 특정 개인이 아니라 조직을 표적화했다는 뜻으로 분석된다.

프루프포인트의 부회장인 케빈 엡스타인(Kevin Epstein)은 “공격의 동기는 아직 불투명하다”고 밝힌다. “현재 시점까지 모인 정보만 가지고는 동기를 단언하기가 힘듭니다. 다만 이 정도 규모의 캠페인들은 보통 시험을 위한 것이거나, 고도화된 표적형 공격에서 많이 눈에 띄던 것입니다. 지금으로서 업체들이 기억해야 할 거은 ‘베가 스틸러는 정보 탈취 멀웨어다’라는 겁니다.”

현재 베가 스틸러는 기능적으로 대단히 고급화되어 있지는 않다. 심지어 탐지를 우회하기 위한 패킹 및 난독화 기법도 존재하지 않는다. “지금 눈에 띄는 기능은 비밀번호, 쿠키, 프로파일 데이터, 저장된 신용카드 정보를 훔쳐내는 것뿐입니다. 물론 감염시킨 컴퓨터를 검색해 워드나 엑셀, PDF 파일을 찾아내기도 하고, C&C 서버와 통신하는 기능도 갖추고 있습니다.”

고급 멀웨어도 아닌 베가 스틸러는 그러나 꽤나 큰 문제로 자랄 수 있다. 프루프포인트에 의하면 베가 스틸러가 오거스트 스틸러의 후속 멀웨어인 것으로 보인다는 점이 가장 껄끄러운 부분이라고 한다. “오거스트 스틸러의 배후에는 어즈니프(Ursnif)라는 멀웨어가 있는데, 이 뱅킹 트로이목마는 은행권에서 악명이 높죠.”

엡스타인의 설명이 이어진다. “오거스트 스틸러는 금융권을 전문으로 하는 보안 전문가들에게 꽤나 잘 알려진 위협입니다. 그런데 이제 이 위협거리에게 후계자가 생긴 거예요. 게다가 베가나 오거스트가 어즈니프와도 관련이 있다는 건 꽤나 심각한 소식입니다. 어즈니프는 나이마임(Nymaim), 굿키트(Gootkit), 아이스드아이디(IcedID)와 같은 악성 페이로드를 추가 다운로드 받기도 합니다.”

베가 스틸러라는 멀웨어 하나가 새롭게 등장한 것이 문제가 아니라, 그 뿌리에 그 동안 여러 조직을 괴롭혀온 멀웨어들이 여러 개 얽혀 있다는 게 문제라는 뜻이다. “아직 베가 자체만으로는 별 거 없어 보이지만, 그 선배 멀웨어들을 보면 이게 끝이 아니라는 생각이 강하게 듭니다. 대규모 분포가 예상됩니다.”

C&C 통신과 데이터 추출, 엔드포인트 보호 등을 위한 이메일 게이트웨이 보안, 네트워크 보안 솔루션 조치 등 기본적인 보안 조치 사항을 잘 지켜내는 것이 지금 조직들이 할 수 있는 일이라고 프루프포인트는 결론을 짓고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>