2017년 발견된, 사우디 대상 공격 캠페인...악성 문서와 파워셸이 특징
각종 정찰 기능 발견되기도...공격자들의 수준 높아지는 것에 주목해야

[보안뉴스 문가용 기자] 악성 워드 문서와 파워셸 스크립트를 동반한 새로운 사이버 공격이 보안 업체 트렌드 마이크로(Trend Micro)에 의해 발견됐다. 그런데 이 공격이 사이버 정찰 캠페인인 머디워터(MuddyWater)와도 관련이 있는 것으로 보인다고 한다.


머디워터 캠페인은 2017년에 처음 발견된 것으로, 사우디아라비아 정부를 표적으로 삼고 있으며, 마이크로소프트 오피스 워드 매크로를 통한 파워셸 스크립트 활용을 특징으로 하고 있다. 비슷한 공격이 2018년 3월, 터키와 파키스탄, 타지키스탄 정부를 대상으로 진행되고 있는 게 발견되기도 했다.

또한 머디워터 공격은 깔끔하게 삭제하는 것이 매우 힘들다고 알려져 있다. FIN7이라는 해킹 그룹과 연관성이 있다는 주장도 있으나 아직 확실한 것은 아니다. 다만 작년에 이뤄진 머디워터 공격이 한 개의 단일 체제 하에 있었던 것으로 보이긴 한다고 보안 업계는 분석하고 있다.

트렌드 마이크로가 지난 달 발견한 캠페인은 머디워터의 전형적인 패턴들을 가지고 있다. “워드 문서를 사용해 백도어를 배포하고 있으며, 이 문서는 파워셸 스크립트를 실행시킵니다.” 그러나 과거의 머디워터와는 달리 스크립트를 ‘다운로드’하는 것이 아니라, 문서 내에 암호화된 스크립트가 이미 포함되어 있었다고 한다.

“그러나 매크로가 엠베드 된 악성 문건을 사용한다든지, 매크로 스크립트를 숨기기 위한 난독화 기술 등에서 머디워터와 공통된 부분을 상당히 발견할 수 있습니다.”

지난 번 머디워터 공격에 사용된 가짜 이메일은 주로 정부나 통신사와 관련된 내용으로 사용자들을 속였다면, 이번에는 보상이나 진급을 키워드로 삼고 있다. 이러한 차이점에 대해 트렌드 마이크로는 “공격자가 달라졌다기보다, 공격자가 노리는 산업이나 표적이 달라진 것으로 보인다”고 설명한다. “더 이상 특정 산업이나 조직만을 노리지 않는 것이 분명합니다.”

피해자가 이 문건을 여는 순간 “내용을 다 보려면 매크로를 활성화시켜야 한다”는 메시지를 받는다. Document_Open()를 사용하는 매크로로 악성 루틴을 실행하는 기능을 가지고 있다. 그러면서 두 개의 파워셸 스크립트가 실행되는데, 두 번째 스크립트는 침해된 기기 내로 다양한 요소들을 드롭시킨다.

최종 페이로드는 PRB-백도어(PRB-Backdoor)로 원격 접근을 위한 트로이목마(RAT)의 일종이다. 2018년 5월에 한 번 샘플이 분석된 바 있으며, outl00k.net에 설치된 C&C 서버와 통신을 한다. 다양한 명령을 수행할 수 있다.

PRB-백도어가 가장 먼저 하는 일은 C&C 서버와 연결을 수립하는 것이다. 그런 후 감염시킨 기기를 등록하고, 기기 내 브라우저를 통해 사용자의 검색 히스토리를 수집한다. 이 정보는 C&C 서버로 전송된다. 이 과정에서 비밀번호 정보를 훔쳐내기도 하며, 파일을 읽거나 쓸 수 있기도 하다. 셸 명령어를 실행하기도 하며, 키스트로크를 로깅하고, 스크린샷을 캡쳐하며, 각종 기능들을 업데이트 하기도 하는 등 다양한 활동을 벌인다.

지난 달 PRB-백도어를 분석한 보안 업체 시큐리티 오니지(Security 0wnage)는 “PRB-백도어 및 그 소스코드와 관련된 레퍼런스가 대중에게 공개된 바 없다”고 밝히기도 했다. 공격자가 직접 개발한 것이라는 뜻으로, 공격자의 기술력이 꽤나 높은 수준에 있다는 걸 알 수 있는 뿐이다.

트렌드 마이크로 역시 “이번 공격이 정말로 머디워터와 관련이 있는 것이라면, 머디워터 공격자들의 기술이 계속해서 발전하고 있으며, 이들이 사용하는 툴과 공격 전략이 점점 높은 수준에 이르고 있다는 것으로 이해해야 한다”고 결론을 내리기도 했다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>