• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

악명 높은 해킹 그룹 코발트, 구글 앱 엔진 활용해 피해자 속여 2019.01.28

러시아발 해킹 그룹, 주로 금융 기관 노리며 공격 실시해
최근 구글 앱 엔진 URL을 첨부한 공격 통해 악성 PDF 문서 다운받게 해

[보안뉴스 문가용 기자] 악명 높은 해킹 그룹인 코발트(Cobalt)가 최근 공격에 구글 앱 엔진(Google App Engine)을 사용해 멀웨어를 퍼트리고 있는 것이 보안 업체 넷스코프(Netskope)에 의해 발견됐다. 코발트의 악성 PDF 문서가 이러한 새 전략을 통해 빠르게 퍼져가고 있다는 경고도 함께였다.

[이미지 = iclickart]


코발트는 러시아에 기반을 둔 해킹 그룹으로 보이며 2016년부터 활동해왔다. 주로 금융 기관들을 노린 공격을 감행했는데, 대표적인 사건은 러시아의 메타크인베스트뱅크(MetakkinvestBank)라는 곳을 해킹해 970만 달러를 탈취한 것이다. 작년 8월에는 러시아와 루마니아의 여러 은행들이 코발트의 공격을 받기도 했다.

그런데 최근 코발트는 URL 우회 공격을 활용해 가짜 PDF 문건들을 퍼트리기 시작했다. 이번에 사용되기 시작한 URL은 구글 앱 엔진(Google App Engine)으로 연결되는 HTTPS URL로, 피해자들은 이 주소를 보고 정상적인 파일에 접근한다고 믿게 된다. HTTPS도 그렇고, 구글의 서비스가 URL에 나타나기 때문이다.

이 악성 PDF 파일은 어도비 아크로뱃 18.0으로 만들어졌으며, 플랫 디코드(Flat Decode)를 사용해 압축된 악성 URL이 첨부되어 있다. 이런 종류의 공격은 OWASP(Open Web Application Security Project)의 분류 체계에 따르면 ‘비인가 우회 및 전달(Unvalidated Redirects and Forwards)’ 항목에 속하게 된다.

“피해자가 URL에 접속하면 제일 먼저 appengine.google.com으로부터 로그아웃 되고, 응답 상태 코드 302가 생성됩니다. 그러면서 URL 우회 접속이 일어나는데요, 사용자가 그 다음으로 우회되는 곳은 google.com/url입니다. 이 때 사용되는 쿼리는 ‘?continue=’입니다. 이런 우회 로직을 사용함으로써 공격자가 원하는 랜딩 페이지로 피해자를 유도할 수 있게 됩니다.”

PDF 리더는 문서가 웹사이트로 연결될 때 경고 메시지를 사용자들에게 내보낸다. 하지만 이번 공격의 경우 appengine.google.com이 표시되기 때문에 피해자들은 이 경고 메시지를 보고도 ‘확인’을 누를 가능성이 크다고 넷스코프는 설명했다. 또한 인기가 높은 PDF 리더 프로그램들 중 일부에서는 웹사이트의 연결을 ‘디폴트’로 지원하기도 한다. 따라서 아무런 경고를 받지 못하는 사례도 빈번하게 발생할 수 있다. appengine.google.com이 화이트리스팅 되어 있는 상황에서도 마찬가지다.

이 공격에 사용되는 PDF 문서들은 실행 시 매크로 코드가 삽입되어 있는 마이크로소프트 워드 문서를 다운로드 받는다. 이 워드 문서는 열리면서 “콘텐츠 편집 기능을 활성화하라”는 메시지를 내보낸다. 사용자가 이를 활성화할 경우 매크로가 실행되고, 이 매크로를 통해 다음 단계의 페이로드가 다운로드 된다.

넷스코프가 발견한 페이로드는 .txt 파일이었다. 다운로드 된 후 마이크로소프트 커넥션 매니저 프로파일 인스톨러(Microsoft Connection Manager Profile Installer, csmtp.exe)를 통해 실행된다. 이는 작은 악성 스크립트들을 기본 윈도우 애플리케이션을 사용해 로딩해 애플리케이션 블랙리스팅 솔루션을 피해가는 스퀴블리두(Squiblydoo)라는 공격 기술과 꽤나 닮은 방식이다.

이 공격은 전 세계에서 20곳이 넘는 은행, 정부 기관, 금융 조직을 겨냥해 발생한 것으로 보인다고 넷스코프는 밝혔다. “유로폴은 코발트를 지휘하는 사람을 2018년 3월 26일에 체포했습니다. 그렇지만 코발트의 공격은 여전히 진행되고 있습니다. 공격이 발견된 시간이나 메일 도착 시간 등을 봤을 때 이 공격은 현재 활발히 진행되고 있는 것으로 보입니다.”

3줄 요약
1. 러시아의 해킹 조직 코발트, 최근 다시 공격 개시.
2. 주로 금융 조직을 노리며, 구글 앱 엔진 URL을 사용해 악성 링크의 신뢰도를 높임.
3. PDF에서 워드에서 TXT로, 다단계 공격 실시. 현재도 활발히 진행 중.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>