보안

‘바자로더’ 가고 ‘범블비’ 왔다…새로운 악성코드 로더 주의보

Lucian Constantin | CSO 2022.05.02
일부 랜섬웨어 공격 집단의 초기 접근 조력자로 여겨지는 여러 위협 집단이 종전에 사용하던 1단계 악성코드 다운로더인 바자로더(BazaLoader), 아이스드아이디(IcedID) 대신 새로운 로더 ‘범블비(Bumblebee)’를 사용하고 있는 것으로 나타났다.
 
ⓒ Getty Images Bank

보안 업체 프루프포인트(Proofpoint) 연구팀에 따르면, 최소한 3곳의 랜섬웨어 공격 집단과 연관된 범블비 이메일 기반 배포 작전이 지난 3월 개시됐다. 코발트 스트라이크(Cobalt Striker), 실버(Silver), 미터프리터(Meterpreter)와 같은 침투 테스트 구성요소를 배포하는 데 사용됐다. 최근 몇 년간 공격자들은 수동 해킹이나 피해 네트워크를 통한 횡적 이동에 비슷한 종류의 공격 프레임워크와 이중 용도의 오픈소스 툴을 사용해왔다.

프루프포인트 연구팀은 보고서에서 “범블비는 정교한 다운로더다. 개발 극초기 단계임에도 불구하고 일반 다운로드 기능이 특별히 구현되어 있고 안티 가상화 검사 기능이 들어 있다. 위협 환경에서 범블비가 증가한 시기는 후속 해킹을 가능하게 하는 인기 페이로드 바자로더가 최근 프루프포인트 위협 데이터에서 사라진 시기와 일치한다”라고 말했다.


범블비 배포 방식

지금까지 범블비는 스피어 피싱 이메일을 통해 배포됐다. 온갖 미끼를 동원한 메시지를 사용해 피해자가 IOS 파일을 다운로드 후 실행하게 하면, 해당 파일에 심어진 범블비가 열리는 방식이다. IOS 파일은 광학 디스크의 파일 시스템 복사본을 디스크 이미지로 저장하기 위해 사용되지만 사실상 아카이브 형식이다. 

지난 3월 TA579라는 위협 행위자의 소행으로 밝혀진 한 작전에서는 기업이 이용하는 온라인 문서 서명 서비스 도큐사인(DocuSign)의 알림으로 가장한 악의적인 이메일이 발송됐다. 메일에 포함된 ‘문서 검토(REVIEW THE DOCUMENT)’ 하이퍼링크를 클릭하면 마이크로소프트 원드라이브에서 압축 파일을 다운로드하게 된다. 이 압축 파일에는 ISO 파일이 들어 있었고, 이 ISO 파일 안에는 또 다른 2개의 파일(Attachments.lnk 및 Attachments.dat)이 들어 있었다. LNK 파일은 윈도우 컴퓨터에서 애플리케이션과 파일 바로가기에 사용되는 파일인데, 윈도우의 rundll32.exe 서비스를 호출해 Attachments.dat(범블비)를 실행하는 작업에 적합한 매개변수가 들어 있었다.

악성 이메일에는 HTML 첨부파일도 첨부돼 있었다. 첨부파일의 하이퍼링크를 클릭하면 리디렉션 서비스를 통해 원드라이브에서 똑같은 ISO 파일을 다운로드하게 된다. 즉, 동일한 페이로드를 다른 경로로 전달하는 방법을 마련한 것이다.

같은 달 TA578이라는 다른 위협 행위자의 소행으로 밝혀진 또 다른 이메일 작전도 관찰됐다. 특정 조직을 노린 공격이었다. 위협 행위자들은 해당 조직의 웹사이트에서 제공하는 웹 기반 이메일 연락처 양식을 이용해 해당 웹사이트가 저작권이 있는 이미지를 도용한다는 가짜 항의문을 보냈다. 스피어 피싱 이메일에는 ‘이미지 도용 증거’라는 이름으로 구글 드라이브에 호스팅된 ISO 파일 링크가 포함돼 있었고, 이 ISO 파일에는 neqw.dll로 저장된 범블비 복사본을 실행하는 파일(DOCUMENT_STOLENIMAGES.LNK)이 들어 있었다.

지난 4월 발생한 다른 작전에서는 쓰레드 하이재킹(thread hijacking)이 사용됐다. 정상적으로 주고받은 이메일 쓰레드에 대한 답장으로 가장한 이메일을 보내는 수법이다. 문제의 답장은 송장 관련 내용인 것처럼 꾸며졌고, 이메일 내용에는 첨부된 압축 파일(파일명 : doc_invoice_[number].zip)을 열 때 필요한 비밀번호가 나와 있었다. 압축 파일 안에는 ISO 파일과 함께 tar.dll로 저장된 범블비 복사본을 실행하도록 구성된 파일(파일명 : DOCUMENT.LNK)이 들어 있었다.


랜섬웨어 공격 집단이 사용하는 도구의 변화

프루프포인트는 기업 네트워크 접근권을 랜섬웨어 공격 집단을 비롯한 사이버범죄 집단에 팔아넘기는 독자적인 해커 집단인 이른바 ‘초기 접근 브로커(initial access broker)’가 단독으로 위협 행위자들에게 악성코드를 제공했다고 보고 있다. TA578은 과거에 어즈니프(Ursnif), 아이스드아이디, 케이팟 스틸러(KPOT Stealer), 부어로더(Buer Loader), 바자로더, 코발트 스트라이크 등을 사용하는 모습이 관찰된 바 있으며, TA579는 바자로더와 아이스드아이디를 자주 사용했다.

프루프포인트 연구진은 구글이 3월 보고한 악성 이메일 활동과 범블비를 사용한 작전에 공통점이 있다고 지적했다. 콘티(Conti), 디아볼(Diavol)처럼 사람이 직접 운영하는 랜섬웨어의 배포 및 데이터 누출과 긴밀히 연관된 이그조틱 릴리(EXOTIC LILY)라는 접근 브로커가 연루된 활동이다. 구글은 이그조틱 릴리가 전 세계 약 650곳의 조직에 하루 5,000건 이상의 이메일을 보내는 것을 관찰한 바 있다.

아이스드아이디 트로이 목마는 2021년 원퍼센트(OnePercent 또는 1Percent)라는 집단의 랜섬웨어 배포에 사용됐다. 원퍼센트는 올해 1월 러시아 연방보안국(FSB)이 급습한 것으로 알려진 악명 높은 레빌(REvil) 집단과 연계돼 있다. 바자로더는 트릭봇(TrickBot) 트로이 목마보다 회복 탄력성이 높은 대체물로 제작된 것으로 여겨지고 있으며, 콘티라는 또 다른 악명 높은 랜섬웨어 집단과 연관돼 있다. 바자로더는 아이스드아이디 배포에도 사용됐다.

프루프포인트 연구팀은 “바자로더가 사이버범죄 위협 환경에서 사라진 시기는 2022년 2월 말 콘티의 내부 운영에 접근권이 있는 한 우크라이나 연구원이 콘티의 내부 데이터를 유출하기 시작한 시기와 일치한다. 유출된 파일에서 바자로더와 연관된 인프라가 확인됐다”라고 밝혔다. 이에 따라 바자로더가 버려진 것이라면, 1단계 악성코드 로더로 범블비를 채택할 랜섬웨어 공격 집단과 초기 접근 브로커가 늘어날 것으로 연구팀은 예상했다. 


범블비가 작동하는 방식

범블비와 같은 악성코드 로더는 소규모 악성 프로그램으로, 해킹한 시스템에 들키지 않고 추가 페이로드를 다운로드해 실행하는 것이 목적이다. 이를 달성하기 위해 기존의 정상적인 프로세스에 추가 페이로드를 주입하거나 첨부한다. 해킹한 컴퓨터의 시스템 정보도 수집해 추후 공격자의 C&C 패널에서 피해 시스템을 파악하는 데 활용한다.

프루프포인트의 분석에 따르면, 범블비가 실행된 후에는 윈도우 관리 도구(WMI) 프레임워크로 시스템 정보를 질의하고 감염된 시스템에 대해 고유한 ID를 구축한다. 그다음에는 25초마다 C&C 서버에 접촉해서 실행할 명령이 없는지 찾는다. 이런 명령어와 페이로드는 공격자들이 수동으로 제공한다. 따라서 최초의 감염 이후 범블비가 다음 단계로 진행할 때까지 몇 시간이 소요될 수 있다.

공격자는 봇이 지원하는 명령어를 통해 파일을 직접 다운로드하여 실행할 수도 있다. DLL과 셸코드를 기존 프로세스에 주입하고 시스템에서 지속성을 확보하는 것이 목적이다. 범블비 DLL을 %APPDATA% 폴더에 복사하는 과정과 예정된 작업에 따라 DLL를 로드할 VBS 스크립트를 생성하는 과정이 포함된다.

3월 이후 감지된 표본을 보면 로더가 활발히 개발되고 있음을 알 수 있다. 새로운 기능이 추가되고 기존 기능이 개선되고 있는 상황이다. 예를 들어 연구팀과 허니팟(honeypot) 시스템에서 일반적으로 사용하는 가상화 환경에서 악성코드의 실행을 방지하는 보안 기능을 우회하도록 안티 VM 및 안티 샌드박스 루틴이 추가됐다. 범블비는 악성코드 애널리스트 및 방어자가 사용하는 공통적인 툴과 관련한 프로세스 목록도 갖추었으며, 시스템상에서 해당 프로세서의 실행 여부까지 확인한다. 

또한 최근 표본에서는 공격자들이 여러 개의 C&C 서버를 지정할 수 있고 질의 시간이 25초에서 임의의 간격으로 수정되었고 C&C 서버와의 통신 내용이 암호화되어 있다. 악성코드 활동을 더욱 은밀하게 만들어 탐지하기 어렵게 하기 위해서다.

프루프포인트 연구팀은 “범블비 로더가 랜섬웨어 같은 후속 페이로드를 침투시키기 위한 초기 접근 조력자로서 이용될 가능성이 있다고 확신한다. 범블비가 위협 환경에 등장한 시기와 여러 사이버범죄 집단이 사용한다는 점을 고려할 때 범블비는 바자로더의 직접적인 대체품까지는 아니더라도 과거에 다른 악성코드를 선호한 행위자들이 사용하는 새로운 다기능 툴일 가능성이 크다”라고 말했다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.