HAURI

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

보안매체 기사

모듈 구조 가진 작은 다운로더, 구소련 국가 정찰하고 있어
등록일 :
2018.09.13
코브인트, 작고 은밀해 탐지 여간 어렵지 않아...여러 캠페인에서 발견돼
코발트 그룹의 새로운 무기로 보이지만 다른 그룹의 모방 역시 염두에 두어야


[보안뉴스 문가용 기자] 모듈 구성을 가진 다운로더의 존재가 멀웨어 세상에서 새롭거나 획기적인 것은 결코 아니다. 그럼에도 한 사이버 범죄 집단이 최근 모듈러 소프트웨어를 사용해 실시하고 있는 공격 캠페인이 보안 전문가들의 주목을 받고 있다. 이들의 목표는 현재까지 밝혀진 바 러시아와 구소련 국가들이라고 한다.

[이미지 = iclickart]


이 캠페인을 발견한 건 보안 업체 프루프포인트(Proofpoint)로, 공격자들을 추적하다가 두 개의 이상한 점을 찾아냈다. 하나는 로더들이 시스템에 침투해서 정찰을 실시함으로써 실제 공격 페이로드를 다운로드시킬지 결정을 한다는 것이고, 두 번째는 이 로더들이 굉장히 작고 정교하게 난독화된 흔적만을 남긴다는 것이다.

프루프포인트는 이 공격의 배후에 있는 것이 코발트 그룹(Cobalt Group)인 것으로 의심하고 있다. 코발트 그룹은 ATM 잭팟팅(ATM jackpotting) 공격으로 금융권을 괴롭혔던 일당이다. “주요 사이버 범죄 단체가 이렇게 작은 용량의 다운로더를 실제 공격에 사용하는 건 처음 봅니다.” 프루프포인트의 수석 위협 첩보 분석가인 크리스 도슨(Chris Dawson)의 설명이다.

또 다른 보안 업체 그룹IB(Group-IB)는 이 다운로더에 코브인트(CobInt)라는 이름을 붙였다. 코브인트는 앞서 밝혔다시피 모듈러 구조를 가지고 있고, “매우 작으며 따라서 탐지에 잘 걸리지 않는다”고 한다. “또한 정교한 난독화 기술을 탑재하고 있기도 합니다. 즉 코브인트를 염두에 두고 수색 작업을 벌이지 않는 한 어지간해서 잡기 어렵습니다.”

코브인트는 어떤 식으로 표적 기기를 감염시킬까? 프루프포인트의 도슨에 의하면 세 단계에 걸쳐 감염이 이뤄진다고 한다. “첫 번째 모듈은 이메일 첨부파일을 통해 전달됩니다. 주로 .VBS 익스플로잇인데, 이를 피해자가 실행시키면 두 번째 다운로더에 대한 요청이 공격자에게로 전달됩니다. 두 번째 다운로더는 C 언어로 작성된 것으로 시스템에 파고들어 정찰을 시도합니다. 보안 소프트웨어가 있는지, 샌드박스 환경인지 확인하기 위해서죠. 멀웨어가 봤을 때 아무런 이상이 없다고 판단될 때 최종 페이로드가 다운로드 됩니다. 세 번째 페이로드는 시스템에 오래 머무르며 정찰하는 기능을 가지고 있습니다.”

세 가지 모듈 모두 굉장히 작은 것이 특징이며, 여러 난독화 기술을 발휘해 탐지를 막는다고 한다. “이 정도로 두터운 난독화 층을 가지고 있다는 건 흔치 않은 일입니다. 그런데 이런 흔치 않은 난독화 기술을 가진 모듈이 세 번 연속 공격에 등장하는 겁니다.” 그리고 이 모듈들은 지난 몇 주 동안 여러 캠페인에서 발견되기도 했다. “그런데 수초 만에 공격이 끝납니다. 그래서 분석이 쉽지 않습니다.”

그래도 프루프포인트 등의 보안 전문가들은 악성 코드의 분석에 어느 정도 성공했다. 그리고 여러 다양한 캠페인에서 발견되긴 했지만 공통적으로 코발트 그룹의 전용 툴인 것으로 보인다는 결론을 내렸다. “코발트 그룹은 코발트 스트라이크(Cobalt Strike)라는 도구를 사용하는 것으로 유명합니다. 그런 그들이 새로운 무기를 개발하는 데 성공한 것으로 보입니다. 그것이 바로 코브인트죠.”

우려가 되는 건 ‘성공 사례’가 범죄자들 사이에서는 빠르게 퍼져나간다는 것이다. “코발트 그룹이 이러 저러한 툴을 가지고 여러 공격에 성공했다더라, 하는 소문이 돌기 시작하면 여러 사이버 단체에서 비슷한 시도를 할 것입니다. 사실 이미 이런 작은 다운로더의 사용량이 늘어나고 있는 흐름이 발견되기도 했고요. 또 다른 공격 단체 중 TA505라는 그룹은 이런 범죄자들 사이의 유행을 가늠해볼 수 있게 해주는 지표 역할을 하는데요, 만약 TA5050가 코브인트의 기술을 사용하기 시작한다면, 난독화가 심하게 적용된 작은 다운로더가 공격자들 사이에서 주류로 자리 잡았다고 봐도 됩니다.”

현재까지 이 공격은 구소련 국가들만을 노린 것으로 보인다고 도슨은 설명한다. “현재까지 발견된 코브인트 공격은 거의 다 러시아어로 진행됐습니다. 그러므로 구소련 국가를 노린 표적 공격으로서 기획된 것으로 봐도 무방합니다. 다만 코발트 그룹의 방식을 흉내 낸 다른 범죄자들이 공격을 실시할 가능성이 있기에, 이 공격이 옛 소련 영토 내에서만 발생할 것이라고 볼 수는 없습니다.”

3줄 요약
1. ATM 잭팟팅 공격으로 유명한 코발트 그룹, 새로운 공격 무기 개발한 듯.
2. 새 무기는 모듈 구조로 되어 있는 작은 용량의 다운로더로 이름은 코브인트.
3. 3단계로 감염 실시하고, 2단계에서 정찰 통해 3단계 공격 할지 말지 결정.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top