러시아어 구사하는 털라, 이메일로 멀웨어 조정하는 유일한 그룹
이메일을 최초 멀웨어 감염 수단으로만 볼 것 아니야

[보안뉴스 문가용 기자] 공격자들은 악성 코드를 퍼트리기 위해 이메일을 자주 활용한다. 그런데 한번 감염시키는 데 성공한 멀웨어를 통제하기 위해 이메일을 사용하는 공격자는 그리 많지 않다.


그 얼마 되지 않는 공격자들 중에 털라(Turla)라는 그룹이 있다. 러시아어를 구사하는 사이버 단체로, 과거 몇 년 동안 PDF 파일을 이메일에 첨부서켜 마이크로소프트 아웃룩 백도어를 통제해왔다.

이번 주 보안 업체 이셋(ESET)은 이런 털라에 대한 보고서를 발표했다. 털라가 2009년부터 여러 정부 및 군사 기관을 표적으로 삼고 다양한 버전의 백도어를 심고 있다는 것으로, 이 공격에 가장 최근 당한 곳은 독일의 연방외교사무국(Federal Foreign Office), 대형 국방 업체, 기타 유럽 2개국의 외교부서였다고 한다.

독일 연방외교사무국의 경우 털라는 여러 시스템에 백도어를 설치하고, 이를 통해 2017년의 거의 모든 정보를 빼내갔다. 그 외 다른 유럽 2개 국가의 외교부서와 국방 업체에 대한 공격은 이셋이 이번 보고서를 통해 최초로 발표한 것이라고 한다.

멀웨어의 코드에 나와있는 타임스탬프를 분석했을 때(물론 이 타임스탬프도 조작됐을 가능성이 농후하다고 한다) 이들이 아웃룩 백도어의 기본 버전을 개발한 건 2009년이다. 이 기본 버전은 이메일 덤핑만을 수행할 수 있었다. 그 후로부터 새로운 기능이 계속해서 추가됐고, 그 결과 굉장히 은밀하고 방어 수단을 쉽게 뚫을 수 있는 고급 멀웨어가 탄생됐다.

이셋에 의하면 털라는 2013년 이 백도어에 명령 실행 기능을 새롭게 추가했다. 특이한 건 이 명령이 XML 포맷으로, 이메일을 통해 전달된다는 것이었다. 그리고 2016년에는 이메일 첨부파일 형태로 전달되는 명령에 반응하도록 멀웨어가 업그레이드 됐다. 이 첨부파일은 털라가 특수하게 조작한 PDF 문서였다. 가장 최근에는 2018년 4월 파워셸 스크립트를 실행하는 기능이 추가됐다.

“백도어의 네트워크 프로토콜로서 이메일을 사용하는 건 정말 드문 일”이라고 이셋의 멀웨어 분석가 매티우 파오(Mattieu Faou)는 설명한다. 사실 정말 드문 정도가 아니라 이메일을 통해 통제가 가능한 백도어를 사용하고 있는 건 털라가 유일하다.

대부분의 백도어들은 HTTP나 HTTPS를 사용해 멀웨와 C&C 서버 간 통신 문제를 해결한다. 가끔 DNS를 사용하는 공격자들도 있다. 그래서 HTTP, HTTPS, DNS를 바탕으로 한 네트워크 트래픽은 삼엄한 모니터링의 대상이 되고, 여러 단계로 걸러지기도 한다. 큰 기업들과 정부 기관일수록 이런 장치들이 더 많다. 그러나 이메일은? 스팸이나 첨부파일에만 신경을 쓰는 것이 거의 전부다.

또한 파우는 “이메일을 사용한다는 건 네트워크 트래픽이 정상 트래픽과 잘 섞여든다는 뜻도 된다”고 설명을 추가한다. “트래픽이 악성 C&C 서버가 아니라 기업 메일 서버로 곧바로 전송되기 때문입니다. 그러므로 침해된 기기로부터 빼낸 정보를 PDF 파일에 담고, 이것을 이메일이 첨부한다고 해도 보안 장치에 걸리지 않게 됩니다.”

털라의 아웃룩 백도어는 동적 링크 라이브러리(DLL)의 일종으로, 털라가 보유하고 있는 1단계 드로퍼를 통해 피해자의 하드드라이브에 설치된다. 그리고 침해한 시스템에 계속 머물러 있기 위해 털라는 COM 객체 하이재킹이라는 기법을 써서 윈도우 레지스트리를 조작한다.

백도어의 기본 목적은 침해한 시스템에 들어오고 나가는 이메일을 전부 모니터링하고, 메시지 전송자, 수신자, 제목, 첨부파일 이름 등에 관한 메타데이터를 수집한다. 그리고 이 데이터는 로그에 기록되며, 이 로그들을 모아 주기적으로 털라에 전송한다. 이 때 로그 파일은 조작된 PDF 문서의 형태로 이메일에 첨부된다.

이 아웃룩 백도어는 들어오는 이메일을 확인해 공격자가 명령을 숨겨서 보낸 PDF 파일이 있는지 점검한다. 이때 공격자는 털라만이 아니라 PDF 문서 형태를 통해 명령을 암호화할 수 있는 모든 공격자들을 포함한다. 이런 통신에 자주 사용되는 주소가 차단되면 백도어는 새로운 C&C 주소를 PDF 문서에 적어 멀웨어에 알려줄 수 있다.

다른 백도어와 이 백도어의 가장 큰 차이점은 이 백도어가 이메일의 인박스에 자동으로 다운로드 되는 이메일을 검사하는 동안 공격자가 백도어와의 통신을 시작할 수 있다는 점이라고 파우는 설명한다. “백도어는 원래 원격에 있는 서버와 C&C 통신을 실시합니다. 이 서버가 막히면 C&C 통신도 막히게 되죠. 하지만 이 아웃룩 백도어의 경우는 아무 이메일 주소만 새롭게 지정해주면 되는 문제라 공격자가 C&C 통신의 중단을 염려하지 않아도 됩니다. 게다가 인증된 기업 엑스체인지 서버(Exchange Server)를 사용하니 방화벽도 쉽게 통과할 수 있고요.”

털라 그룹이 활동한 것은 꽤나 오래전부터다. 보안 업체에 따라 스네이크(Snake)나 유로뷰로스(Uroburos)라고 부르기도 한다. 2008년 미국 중앙사령부(US Central Command)를 침해했고, 그 외에도 전 세계적인 공격을 펼쳐 각종 정부 기관들과 군사 시설을 침해했다. 핀란드의 외무부와 스위스의 육군, 독일 정부가 털라의 피해자다.

털라가 ‘이메일 백도어’의 정의를 새롭게 바꿨다는 건 털라가 아직도 활발하게 활동하고 있다는 뜻이라고 파우는 말한다. 게다가 실력도 뛰어나다. “이메일은 멀웨어가 침투하는 경로로 여겨져 왔는데, 이제는 멀웨어와 C&C 서버의 통신까지도 담당하게 되었습니다. 이 점을 기업들도 이해해야 합니다.”

3줄 요약
1. 러시아의 해킹 단체 털라, 아웃룩 백도어 만들어 각종 정부 및 군사 기관 공격함.
2. 이메일로 멀웨어를 전달하는 것만이 아니라, 침해 후 멀웨어 통제에도 이메일을 사용.
3. 이메일 사용하면 정상 트래픽과 악성 트래픽 구분하기 어려워진다는 큰 장점 있음.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>