워드프레스 사이트 침해해 다양하고 유연한 오버레이 공격 진행
다양한 브라우저와 업데이트 종류 다루는 공격 테마...전부 30개 언어로 실행돼

[보안뉴스 문가용 기자] 새로운 소셜 엔지니어링 툴킷이 발견됐다. 툴킷의 목표 자체는 새로울 것이 하나도 없지만, 그 목표를 달성하는 방법은 꽤나 고차원적이고 “아름답기까지 하다”고 전문가들은 말한다. 이 툴킷의 이름은 도멘(Domen)이다.


도멘의 목표는 기존 소셜 엔지니어링 툴킷과 크게 다르지 않다. 웹사이트를 침해하는 것이다. 특히 워드프레스를 기반으로 한 웹사이트를 노리고 있는데, 워드프레스 침해 시도는 과거에 무수하게 반복된 공격의 유형이다. 침해한 웹사이트는 아이프레임(iframe)을 사용한 오버레이 공격에 활용된다. 사용자들은 이 오버레이 공격을 통해 업데이트를 다운로드 받도록 안내되지만, 사실은 넷서포트(NetSupport)라는 원격 접근 트로이목마가 설치된다.

이렇게 ‘가짜 업데이트’를 동원한 소셜 엔지니어링 공격은 이전에도 있었다. 2017년 1월, 엘테스트(ElTest)와 회플러텍스트(HoeflerText)라는 소셜 엔지니어링 공격 캠페인이 발견됐었다. 당시 캠페인을 통해 설치되던 멀웨어 페이로드는 광고 사기 범죄를 돕는 플리어시벳(Fleercivet)이라는 것이었다. 나중에는 스포라(Spora)라는 랜섬웨어로 대체됐었다.

그렇다면 이번에 발견된 새로운 캠페인은 이전과 어떤 차이를 보일까? 먼저 가짜 업데이트 메시지를 전달하는 방법에서 차이가 난다. 먼저 크롬 등 각종 브라우저, 플래시 플레이어, 폰트 업데이트 등의 내용으로 사용자들을 꾀는데, 사용자에 따라 30개의 언어 중 하나를 사용한다. 폰트 업데이트 때 사용되는 오버레이는 과거 회플러텍스트 공격 때 사용되던 것과 동일하다. 그렇다면 이건 과거 공격자들이 진화한 것일까? 아니면 새로운 누군가 회플러텍스트 공격자들을 흉내 내고 있는 것일까?

보안 업체 멀웨어바이츠(Malwarebytes)는 “전혀 새로운 자들에 의한 새로운 캠페인”이라는 의견이다. 도멘이라는 이름도 멀웨어바이츠가 붙여냈다. “공격자들이 침해한 사이트를 사용자들이 방문할 때마다 도멘 툴킷이 발동합니다. 이 툴킷이 asasaswqq.xyz라는 곳에 호스팅 된 원격 서버와 접속을 하죠. 지난 수주 동안 약 10만 명이 이 사이트에 접속했습니다. 피싱 공격의 피해자들인 것입니다.”

도멘에 있는 도구 중 하나인 템플릿(template.js)의 기능은 인터넷 익스플로러, 크롬, 파이어폭스, 에지 등 다양한 브라우저의 업데이트 ‘알림’ 메시지를 띄우는 것이다. 이 때 설치 관련 명령이 포함된 APK가 안드로이드 장비마다 다르게 적용된다. 업데이트 메시지 또한 30개 언어로 번역되서 나타난다. 기존 브라우저의 핑거프린트를 기준으로 언어가 선택된다. 브라우저 유형, OS, 위치 정보가 참고 된다고 한다.

브라우저 업데이트냐, 폰트 업데이트냐, 플래시 업데이트냐 등 메시지 내용은 배너(banner)라는 변수에 의해 결정된다고 한다. 그러나 공격을 실행하는(즉 도멘을 사용하는) 자에 따라 자유롭게 결정이 가능하다. 각 공격 테마 모두 30개 언어로 실행이 가능하다.

다양한 브라우저들을 테마로 한 가짜 업데이트 공격이 실행되고는 있지만, 공격에 사용되는 오버레이 자체는 동일하다. 브라우저 이름과 로고만 달라진다. 업데이트 되어야 할 버전 번호도 브라우저마다 다르게 표기된다. 하지만 가짜 메시지가 사용자에게 제시하는 오류의 유형은 다 똑같다. 1) 부정확한 사이트 매핑, 2) 저장된 정보의 손실, 3) 브라우저 오류 셋 중 하나다.

플래시 업데이트를 테마로 한 오버레이의 경우 ‘나중에(later)’와 ‘업데이트(update)’라는 버튼이 추가되어 있다. 이 오버레이는 chrom-update.online이라는 곳에 호스팅 되어 있다. ‘나중에’ 버튼을 누르든 ‘업데이트’ 버튼을 누르든, download.hta라는 파일이 저장된다. 이 파일은 아마존 서버인 bbuseruploads.s3.amazonaws.com에 호스팅 되어 있다.

이 download.hta는 HTA 스크립트로 파워셸을 실행시키고 xyxyxyxyxy.xyz이라는 도메인에 접속을 시도한다. 여기서부터 또 다른 멀웨어의 페이로드를 다운로드 받는다. 위에서 말한 넷서포트 원격 접근 트로이목마가 현재까지는 주인공이다.

사실 넷서포트는 정상적인 도구다. 영국에서 개발한 솔루션으로, 원격에서도 사무실에 있는 워크스테이션에 접근해 자유롭게 작업을 이어갈 수 있게 해주는 기능을 가지고 있다. 데스크톱용, 랩톱용, 태블릿용, 스마트폰용 버전이 존재한다. 다만 공격자들이 피해자들 몰래 이를 설치해 자기들의 목적에 맞게 남용하는 것이다.

멀웨어바이츠는 도멘에 대해 다음과 같이 총평한다. “접근 원리나 본질은 기존 소셜 엔지니어링 툴킷과 다를 바가 없습니다. 하지만 기존 툴들과는 전혀 다른 차원에 있습니다. 다양한 공격 테마를 가지고 있는데, 그것들이 전부 30개 언어로 나타납니다. 또한 클라이언트 편의 스크립트를 사용함으로써 템플릿도 알맞게 선택될 수 있습니다. 공격자들이 자신의 공격 행위를 설계할 때도 간편하게 바꿀 수 있습니다. 공격 범주에 들어가는 브라우저와 데스크톱, 모바일의 종류도 많고요. 공격자가 엄청난 공을 들인 작품입니다.”

멀웨어바이츠는 “도멘은 공격자들이 익스플로잇 키트를 점점 멀리하기 시작했다는 걸 나타내는 증거”라고 말한다. “점점 많은 브라우저들이 자동 업데이트를 도입하고 있죠. 그래서 익스플로잇 키트는 설 자리가 점점 없어지고 있습니다. 그래서 소셜 엔지니어링으로 많이 돌아서는 게 요즘 사이버 범죄의 추세입니다. 그에 따라 소셜 엔지니어링 툴킷이 점점 고급화되고 있는 것이고요.”

3줄 요약
1. 고급 소셜 엔지니어링 도구 도멘 출현. 여러 가지 테마로 피해자를 낚을 수 있음.
2. 각각의 테마 전부 30개 언어로 제공됨. 분석가들은 ‘아름답기까지 한 도구’라고 평.
3. 익스플로잇 키트의 사용량은 줄어들고 소셜 엔지니어링 공격은 늘어나는 추세.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>