최소 2014년부터 활동해온 그룹...지난 달 유럽 공격 시작해
복잡한 감염 경로...워드의 템플릿 로딩 기능 적극 활용하는 것이 특징

[보안뉴스 문가용 기자] 인셉션(Inception)이라고 불리는 사이버 공격 단체가 1년 전에 발견된 MS 오피스 취약점에 대한 익스플로잇과 새로운 백도어를 사용해 공격을 시작했다고 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 경고했다.


인셉션은 최소 2014년부터 활동을 시작해온 단체로, 자체 제작한 멀웨어를 주로 사용하는 특징을 가지고 있으며 전 세계 다양한 산업 내 여러 단체를 공격한다. 무차별적인 공격을 하는 것으로 보이지만, 러시아에 대한 관심이 가장 깊은 것으로 알려져 있다.

2018년 10월 인셉션은 유럽의 여러 조직들을 공격하다가 발각됐는데, 당시 이들이 사용한 건 CVE-2017-11882 취약점에 대한 익스플로잇이었다. 이 취약점은 마이크로소프트가 2017년 11월에 패치한 바 있다. 또한 인셉션은 파워샤워(POWERSHOWER)라는 새로운 파워셸 기반 백도어를 사용하기도 했다. 파워샤워를 통해 인셉션이 자신들의 흔적을 지워내는 데에 얼마나 많은 공을 들이는지도 드러났다.

당시 발견된 공격에 의하면 인셉션은 악성 문서와 원격 템플릿을 사용해 자신들이 만든 악성 페이로드를 전파하고 있었다. 인셉션은 과거 공격에서도 템플릿을 사용한 바 있는데, 그 때는 두 개의 문서를 사용한 것으로 알려져 있었다. 지난 10월에는 단 한 개의 악성 문서만 사용했다.

MS 워드는 외부에서 호스팅 된 템플릿을 로딩시키는 기능을 가지고 있다. 파일 공유나 인터넷을 통해 템플릿을 가져오는 게 가능하다는 것이다. 문서가 열리면 템플릿이 즉시 로딩되는데, 인셉션은 이 기능을 자신들에게 유리하도록 악용한 것이다.

사실 인셉션의 이러한 공격 행태는 잘 알려진 것이기도 했다. 지난 4년 동안 자신들의 캠페인에 원격 템플릿을 적극 사용해왔기 때문이다. 이 방법을 사용함으로써 감염에 최초로 사용되는 문서의 경우에는 명확하게 악성인 객체를 포함시키지 않을 수 있었고, 악성 콘텐츠를 공격 대상에 맞춰 전송할 수도 있었다. “그래서 공격을 분석하는 게 상당히 까다로웠습니다.”

인셉션의 최근 공격에 등장한 문서의 경우, 가짜 내용을 화면에 보이게 해놓고 뒤로는 HTTP를 통해 원격 템플릿을 가져오는 기능을 가지고 있었다. 팔로알토 측에서 발견한 샘플의 경우 악성 템플릿에 CVE-2012-1856과 CVE-2017-11882 취약점에 대한 익스플로잇이 포함되어 있었다.

그렇게 해서 설치되는 페이로드는 위에서 언급한 파워샤워였다. 간단한 파워셸 기반의 백도어로, 추후 공격을 위한 ‘발판’ 역할을 한다. 즉 여러 가지 정보 수집 기능을 가지고 있다는 뜻이다. 또한 두 번째 페이로드의 다운로드와 실행도 파워샤워의 중요한 역할 중 하나였다. 두 번째 페이로드는 보다 복잡한 기능을 가지고 있었다.

이렇게 복잡한 구조로 공격을 하니, 실제 문제가 되는 페이로드를 발견하고 분석하는 게 매우 어려운 일이 되었다. “게다가 파워샤워는 포렌식 증거를 상당수 삭제하는 기능을 포함하고 있기도 했습니다. 두 번째 페이로드를 다운로드 받는 과정에서 상당한 양의 파일과 레지스트리를 삭제하더군요. 숨기 위해 대단히 많은 노력을 기울이는 집단인 것으로 보입니다.”

3줄 요약
1. 인셉션이라는 공격 단체, 2014년부터 활동해 오면서 ‘외부 템플릿’ 주로 활용함.
2. MS 워드의 외부 템플릿 로딩 기능 악용해 파워샤워라는 백도어 심음.
3. 파워샤워는 흔적을 지우고, 두 번째 페이로드 가져오는 기능 가지고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>