중동 지역에서 발생한 머디워터 캠페인과 유사성 있어
정보 탈취하고 피해자 스파잉하는 데 필요한 여러 기능 갖춰

[보안뉴스 문가용 기자] 파워셸 백도어가 새롭게 발견됐다. 이름은 PRB-백도어(PRB-Backdoor)이며, 악성 매크로가 포함된 워드 문서를 통해 퍼지고 있다. 문서의 이름은 Egyptairplus.doc으로, 중동 지역을 겨냥한 머디워터(MuddyWater) 캠페인과 관련이 있는 것으로 보인다고 보안 업체 시큐리티 오니지(Security 0wnage)가 발표했다.


이 악성 문건을 분석했을 때, Worker()라는 함수가 악성 매크로와 관련이 있음이 드러나기도 했다. 문서 내 엠베드 된 다른 함수들을 다량 호출하는 것으로, 궁극적으로는 파워셸 명령을 실행시키는 기능을 가지고 있다고 한다.

먼저 Worker()는 문서 내 엠베드 된 다양한 데이터를 살피는데, 이 데이터는 Base64로 암호화 되어 있다. 따라서 Worker()는 먼저 이 데이터를 복호화한다. 이 과정에서 숨겨진 파워셸 스크립트가 실행되는 것이라고 분석가들은 말한다.

“iex를 Write-Output으로 교체하고 코드를 실행합니다. 그 결과 두 번째 파워셸 스크립트가 등장하게 되죠. 이 코드는 머디워터에서 발견된 코드와 유사합니다. 특히 Character Substitution 기능을 가지고 있다는 공통점이 있기도 합니다.”

또한 코드를 더 깊게 분석한 결과 Invoker.ps1 스크립트가 나타나기도 했다. 이 스크립트는 가장 핵심이 되는 백도어 코드를 복호화하는 기능을 수행한다. 이 백도어가 바로 PRB-백도어로, 약 2000행의 코드로 구성되어 있으며, 가장 중심이 되는 함수의 이름이 PRB다. 그래서 시큐리티 오니지에서 PRB-백도어라는 이름을 붙인 것이다.

분석가들은 PRB-백도어의 샘플을 샌드박스에서 실행시켜가며 분석을 이어갔다. 그러면서 백도어와 공격자가 통신을 주고받는 주요 도메인을 가리키는 변수가 포함된 부분을 발견할 수 있었다. “해당 도메인은 outl00k.net이었습니다. 여기서 백도어는 추가 명령을 받는 듯 합니다.”

해당 도메인에 대한 추적이 이어졌다. 도메인 등록자는 LinLedin.net이라는 도메인도 소유하고 있었다. 그러나 아직 두 도메인의 관련성에 대해서는 파악해내지 못했다. LinLedin.net에서 악성 행위가 발견된 것도 아니었다.

추가 분석 결과 PRB-백도어의 코드에서 브라우징 히스토리를 추출하는 기능도 발견됐는데, 이 백도어가 노리는 브라우저는 크롬, 인터넷 익스플로러, 파이어폭스였다. 또한 비밀번호를 훔치고, 디스크에 파일을 생성하며, 스스로 업데이트하는 기능도 계속해서 나왔다. 여기에 더해 셸 실행 기능, 키스트로크 로깅 기능, 스크린샷 저장 기능 등도 발굴됐다.

“정말 다양한 기능을 수행하기 위해 만들어진 백도어라고 보입니다. 하지만 아직까지 이 멀웨어가 연루된 실제 피해 사례를 발견하기는 힘들었습니다. 중동 지역의 머디워터와 관련성이 있어 보이지만, 그 어떤 정부 기관이나 공격 단체가 딱 떠오르는 것도 아닙니다. 좀 더 주시해서 볼 필요가 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>