최근 미국과 영국의 금융 종사자들 노리는 대규모 캠페인 발견돼
구글 클라우드 스토리지에 호스팅 된 악성 페이로드 활용...탐지 어려워

[보안뉴스 문가용 기자] 미국과 영국의 은행과 금융 서비스 기관 직원들을 노리는 악성 이메일 캠페인이 발견됐다. 공격자들은 구글 클라우드 스토리지(Google Cloud Storage)를 사용해 페이로드를 배포한다고 한다. 이에 대해 보안 업체 멘로 랩스(Menlo Labs)가 보고서를 발표했다.


공격자들은 사용자들에게 악성 링크를 보내 클릭을 유도하는데, 주로 .zip이나 .gz와 같은 압축 파일을 다운로드 받게 하기 위함이다. 당연히 이 안에는 악성 페이로드가 숨겨져 있는데, 멘로의 분석에 의하면 후디니(Houdini)와 큐랫(QRat) 멀웨어 패밀리에 소속되어 있는 것으로 보인다고 한다. 재미있는 건 이 압축 파일이 storage.googleapis.com이라는 구글 클라우드 스토리지 서비스에 속한 도메인에 호스팅 되어 있다는 점이다.

구글 클라우드 스토리지 서비스는 많은 업체들이 활용하는 것이라 보안 솔루션들이 위험하다고 판단하지 않는다. 그래서 여기에 악성 페이로드를 호스팅 해도, 링크가 사용자들에게 별다른 경고 없이 전달되는 경우가 많다. 그렇기 때문에 잘 알려진 클라우드 서비스에 악성 소프트웨어 등을 호스팅하는 공격법은 이전부터도 발견되어 왔다.

멘로의 전문가들은 “그래서 공격자들이 최근 악성 첨부 파일이 아니라 악성 링크를 선호하기 시작했다”고 설명한다. “메일과 웹의 조합으로 사용자들을 속이는 것의 효과를 누리려는 시도가 늘어나고 있습니다. 이메일 보안 솔루션들은 악성 첨부 파일을 점점 더 잘 탐지하고 있어요. 하지만 유명 구글 클라우드 도메인이 들어간 링크가 악성인지 정상인지 판단하는 건 굉장히 어려운 일이죠.”

이번 캠페인에서 공격자들이 사용한 악성 페이로드는 크게 두 가지 유형이었다. 하나는 VBS 스크립트고 다른 하나는 JAR 파일이었다. “VBS 스크립트에는 고차원적인 난독화가 적용되어 있습니다. 아마도 악성 문건을 자동으로 만들어주는 키트를 사용해 생성된 것으로 보입니다. 이런 도구는 해커들 사이에서 흔한 것이지요.”

스크립트 중 세 개는 후디니 멀웨어 패밀리에 속해 있었다. 높은 수준의 난독화 기술이 적용되어 있었고, 베이스64(Base64) 알고리즘이 발견됐다. 세 가지 모두 같은 C&C 도메인에 연결되어 있었으며, 난독화의 마지막 단계에서 같은 문자열이 발견됐다. 또한 결국에는 전부 같은 JAR 파일을 다운로드 받는 기능을 가지고 있었다.

문제의 JAR 파일들은 C&C 도메인을 보건데 후디니 혹은 제이랫(jRAT) 멀웨어 패밀리에 소속되어 있는 것으로 보인다. 큐랫과 연루되어 있는 JAR 파일들도 발견됐는데, 아직 이 부분에 대한 조사는 계속 진행되고 있다.

“금융 분야는 공격자들에게 있어 매력이 끊임없이 솟아나는 곳입니다. 공격자들은 어떻게 해서든 이런 조직들에 원격 접근 툴(RAT)을 심어두려고 애씁니다. 공격의 진화가 일어나는 곳이 바로 이 지점인데요, 공격자들은 최근 유명 클라우드 서비스와 링크를 활용하는 방향으로 선회한 것으로 보입니다. 이런 공격을 막기 시작한다면 다른 방법이 개발될 것이고요. 금융 기관과 업체들 역시 계속해서 방어력을 키워가야 합니다.”

3줄 요약
1. 영국과 미국의 금융 업체 노리는 대규모 피싱 캠페인 발견됨.
2. 구글 클라우드 스토리지 서비스로 연결되는 링크가 포함됨. 이 경우 악성으로 판별되지 않음.
3. 링크 클릭하면 악성 페이로드 포함된 압축 파일 다운로드 됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>