깃허브 페이지에서 공격에 필요한 명령어 받고, 결과를 슬랙에 업로드
한국 사람 노린 듯한 정황 증거 여럿 나와...그러나 결정적 증거는 부족

[보안뉴스 문가용 기자] 보안 업체 트렌드 마이크로(Trend Micro)가 깃허브(GitHub)와 슬랙(Slack)을 C&C 서버로 활용하고 있는 새로운 멀웨어를 발견했다. 트렌드 마이크로 측은 이 멀웨어에 슬럽(SLUB)이라는 이름을 붙였다(Backdoor.Win32.SLUB.A). 현재까지 나타난 분석 결과에 따르면 이 백도어는 표적형 공격에 사용되고 있다고 한다.


트렌드 마이크로가 “슬랙 등 온라인 상에 존재하는 유명한 플랫폼들이 C&C 서버로 활용되고 있다”고 경고한 건 2017년부터다. 그런데 슬랙을 실제 공격에서 C&C 서버로 활용한 멀웨어는 슬럽이 처음이다.

이번에 트렌드 마이크로가 발견한 슬럽 공격은 워터링 홀 기법에서부터 시작한다. 워터링 홀 기법이란 정상적인 웹사이트를 침해해, 그곳에서부터 악성 코드를 배포하는 것을 말한다. 이번 슬럽 공격에 사용된 도메인은 kancc.org였다. 재미동포전국연합회(Korean American National Coordinating Council)의 웹사이트였다.

이 웹사이트는 캐나다에 위치한 서버에 호스팅되어 있는 것이라 트렌드 마이크로는 캐나다의 사이버 보안 센터에 연락해 침해 사실을 알렸다. 보안 센터 측은 서버 운영자들에게 긴급히 연락을 취해 악성 코드를 전부 삭제하도록 했다.

감염 상태에 있을 때 누군가 이 사이트를 방문했을 경우, 그 사람은 CVE-2018-8174라는 VB스크립트 엔진 취약점의 익스플로잇이 호스팅 되어 있는 페이지로 안내됐다. 이 취약점은 MS가 2018년 5월에 패치한 것이며, 호스팅 되어 있는 익스플로잇은 파워셸(PowerShell)을 통해 실행되는 DLL 파일 하나를 피해자의 시스템에 심는다. 이 DLL 파일은 다운로더로서 작용해, 실제 백도어가 담겨 있는 또 다른 파일을 가져와 실행시킨다.

트렌드 마이크로의 전문가들은 이 다운로더가 먼저 시스템에 백신이 설치되어 있는지를 살핀다는 걸 알아냈다. “어베스트(Avast), AVG, 비트디펜더(Bitdefender), 노턴(Norton), 이스트포스트(ESTsoft), 안랩(AhnLab), 치후 360(Qihoo360) 등의 제품들을 확인합니다. 그리고 이중 하나라도 발견되면 기능을 실행하지 않습니다. 이 다운로더는 CVE-2015-1701이라는 오래된 윈도우 취약점도 익스플로잇 함으로써 권한을 상승시키기도 합니다.”

이런 식으로 시스템에 심긴 이후 슬럽은 특정 깃허브 페이지들을 확인하기 시작한다. 공격자들이 이 슬럽으로 전달할 명령어를 찾기 위함이다. 명령어를 찾는 데 성공하면 슬럽은 이를 시스템 내에서 실행하고, 그 결과를 비밀 슬랙 채널에 게시한다. 이 슬랙 채널은 공격자들이 소유하고 있는 것이다. 슬럽 멀웨어 안에는 두 개의 하드코딩 된 인증 토큰들도 포함되어 있다. 이 토큰들이 있어 슬랙에 메시지들을 게시할 수 있는 것이다.

트렌드 마이크로에 의하면 공격자들은 슬럽을 통해 명령을 실행할 수 있을 뿐만 아니라 파일을 다운로드 하거나 업로드 할 수도 있고, 시스템 내 파일들의 목록을 얻어갈 수도 있으며, 폴더를 생성하거나 삭제하는 것도 가능하다. 시스템 정보를 취득하는 것과 스크린샷을 찍고, 레지스트리 관련 작업들을 하는 것도 된다고 한다. 파일을 훔치는 데에는 파일아이오(File.io)라는 클라우드 스토리지 서비스가 활용된다.

“명령어들을 분석해보면 공격자들인 개인의 신상과 관련된 정보를 훔치는 데 목적을 두고 있다는 걸 알 수 있습니다. 특히 소통을 위한 다양한 소프트웨어들아 이들의 관심 대상입니다. 시스템을 감염시키고, 그 시스템의 주인이나 기타 사용자들에 대한 정보를 집중적으로 수집합니다.” 트렌드 마이크로는 공격자들이 전문 해커들이라고 보고 있으며, 현재까지 공공 서비스만을 사용해 공격을 실시해왔기 때문에 발각되지 않은 것이라고 설명한다.

“아직까지 이 공격자들에 대해 공개된 문서나 발표 자료가 없는 것으로 보입니다. 과거 연구된 그 어떤 해킹 단체들과 슬럽 공격을 연관 지을 수가 없었습니다. 다만 워터링 홀 공격을 위해 사용한 사이트의 성격을 보건데, 정치적인 동기를 가진 공격일 가능성이 높지 않을까 합니다.”

트렌드 마이크로의 블로그 게시글에는 공격 배후에 대한 언급이 조금도 나오지 않는다. 다만 몇 가지 증거를 조합해보면, 대한민국의 사용자들이 공격 표적일 가능성이 높다. “공격자들은 한국에서 주로 사용되는 .hwp 문서 파일들에 대한 관심도가 높았습니다. 또한 최초 검사에서 다운로더가 확인하는 백신 제품들 중에 한국 회사에서 개발한 것들이 꽤 됩니다. 워터링 홀 공격이 이뤄진 사이트도 한국인 재외동포들이 자주 사용하는 곳이고요.”

한편 트렌드 마이크로는 깃허브와 슬랙 측에도 일부 서비스나 페이지가 공격에 남용되고 있다는 사실을 알렸고, 두 회사는 관련된 파일이나 페이지, 채널 등을 삭제했다.

3줄 요약
1. 이전부터 우려됐던 공격 시나리오 중 슬랙이나 깃허브를 C&C로 활용하는 것 있었음.
2. 그런데 슬럽이라는 멀웨어가 등장해, 실제로 슬랙과 깃허브를 C&C로 활용함.
3. 여러 가지 정황 증거를 살폈을 때, 한국인 사용자들을 노리는 공격일 가능성 높음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>