보안

프로메테우스 트래픽 통제 시스템, 멀웨어 배포의 ‘키 플레이어’

Lucian Constantin | CSO 2022.01.21
사이버 범죄를 움직이는 힘은 각기 다른 최종 공격망에 특화된 범죄 조직으로 구성된 복잡한 생태계에 있다. 여기에는 멀웨어 개발자와 액세스 브로커, 스패머, 개인정보 판매자, 봇넷 운영자, 멀버타이저(Malvertizer) 등이 포함된다.
 
ⓒ Getty Images Bank

종종 간과되지만 멀웨어 전파에서 중요한 역할을 하는 한 가지 서비스는 바로 트래픽 방향 시스템(Traffic Direction System, TDS)이다. TDS는 피해자를 멀웨어나 피싱 페이지로 유도하는 악성 웹사이트 및 기타 서버로 구성된 네트워크이다. 최근 몇 년 사이 웹 기반 익스플로잇 키트와 드라이브 바이 다운로드(Drive by Download) 형태의 공격이 감소하면서 TDS와 같은 서비스에 대한 관심도 줄었지만, 프로메테우스(Prometheus)라는 TDS를 조사한 결과 랜섬웨어 및 기타 맬웨어 배포에서 TDS가 여전히 중요한 역할을 하고 있는 것으로 나타났다.
 

프로메테우스 TDS란?

블랙베리(Blackberry) 연구진의 최근 보고서에 따르면, 프로메테우스 TDS는 2020년 9월경 Ma1n이라는 사용자가 지하 러시아 포럼에 광고를 올리면서 처음 모습을 드러냈다. Ma1n은 최소 2018년부터 사이버 범죄 영역에서 활동해왔으며, 이전에는 SPF, DKIM, DMARC 헤더가 포함된 수십만 통의 이메일을 보내는 데 사용할 수 있는, 블랙리스트에 오르지 않은 기업용 SMTP 서버와 대량 이메일 서비스를 홍보했다.

또한, Ma1n은 블랙 tds(Blacktds), 케이타로 TDS(KeitaroTDS)와 같은 기존 TDS 솔루션을 통한 웹 트래픽 리디렉션 서비스도 판매한 적도 있다. 몇 년 동안 이런 식으로 활동하면서 습득한 전문 지식을 통해 프로메테우스라는 자체 솔루션을 만든 것으로 추정된다.

이런 트래픽 통제 시스템의 목적은 정상적인 웹 사용자를 멀웨어나 피싱 페이지, 기술 지원 사기 또는 기타 악성 서비스로 리디렉션하는 것이다. 트래픽을 가로채는 악성 스크립트를 침해된 웹사이트에 주입하거나 광고 네트워크를 통해 정상적인 웹사이트의 사용자에게 제공되는 악성 광고로 유도하는 방법도 있다.

사이버 범죄자에 있어 TDS의 주요 이점은 시스템의 악성 랜딩 페이지 거미줄에 걸린 방문자의 유형을 기반으로 관리자 패널에서 리디렉션 규칙을 정의할 수 있다는 것이다. 프로메테우스는 침해된 웹사이트에서 방문자 지문 채취를 통해 브라우저와 OS, 시간대, 언어 설정 등을 파악하고, 해당 정보를 공격자가 정의한 리디렉션 명령을 실행하는 지휘통제 서버로 보내는 간단한 PHP 백도어 스크립트로 이런 작업을 수행한다. 따라서 TDS를 임대한 조직이 원하는 공격 대상에 따라 다양한 범주의 방문자를 각기 다른 캠페인으로 리디렉션할 수 있고, 방문자는 자신의 모국어로 된 사기 사이트에 접속하게 될 수도 있다.

블랙베리 연구진은 프로메테우스 PHP 백도어가 PHP메일러(PHPMailer) 소프트웨어의 취약한 버전을 사용하는 웹사이트에 배포된 것으로 보고 있다. 다만, 이 스크립트의 사용은 지난 몇 개월 동안 다른 방법에 밀려 대폭 줄었다.

사이버 범죄 조사 업체 그룹-IB(Group-IB)가 지난 8월 시행한 프로메테우스 분석에 따르면, 공격은 일반적으로 HTML 첨부파일이나 구글 문서 URL, 악성 서버에 호스팅되는 웹 셸 링크가 포함된 스팸 이메일을 보내는 것으로 시작된다. 모든 경우 사용자가 프로메테우스 PHP 백도어로 연결되는 악성 URL을 열도록 유도하는 것이 목적이다. 그런 다음 백도어가 방문자 정보를 수집해 관리자 패널로 보내고 사용자에게 멀웨어를 직접 배포할지, 공격자가 정한 다른 URL로 사용자를 리디렉션할지를 결정한다.
 

많은 사이버 범죄 조직에서 사용되는 프로메테우스

그룹-IB는 자사의 분석 자료를 통해 프로메테우스가 바자로더(BazaLoader)라고도 알려진 캄포 로더(Campo Loader)를 악성 매크로가 포함된 미끼용 마이크로소프트 오피스 파일 형태로 배포하는 것을 확인했다고 밝혔다. 멀웨어 로더는 작은 크기의 1단계 다운로더로, 보통 사이버 범죄자에게 제공되는 서비스에 포함되어 다른 악성 프로그램을 배포하는 데 사용된다. 캄포 로더는 과거 트릭봇(TrickBot)과 어스니프(Ursnif)/고지(Gozi) 트로이 목마를 배포하는 데 사용됐다. 트릭봇은 류크(Ryuk) 랜섬웨어와 기타 멀웨어 배포를 목적으로 액세스를 유도하는 역할을 했다.

그룹-IB에 따르면, 프로메테우스에 의해 배포된 트로이 목마 중에는 핸시터(Hancitor)가 포함된다. 핸시터는 피커 스틸러(Ficker Stealer), 코발트 스트라이크(Cobalt Strike), 센드-세이프(Send-Safe), 그리고 랜섬웨어를 배포하는 것으로 알려진 아이스드ID(IcedID), 범용 뱅킹 트로이 목마인 Q봇(QBot), VBS 로더(VBS Loader), 뷰어 로더(Buer Loader), 속골리시(SocGholish)와 관련된다. 프로메테우스가 이 같은 멀웨어 프로그램을 배포하기 위해 사용하는 미끼는 가짜 크롬 업데이트와 VPN 소프트웨어부터 도큐사인(DocuSign) 서명이 필요하다고 안내하는 악성 문서, 악성 스크립트가 포함된 ZIP 압축 파일에 이르기까지 다양하다. 또한, 프로메테우스는 은행 피싱 사이트나 비아그라 스팸 등으로 사용자를 리디렉션하는 데에도 사용된다.
 

해적판 코발트 스트라이크 링크

블랙베리 연구진은 프로메테우스 계열 조직과 특정 해적판 암호화 키를 사용하는 코발트 스트라이크 비콘 간에 상당한 연관성을 발견했다. 코발트 스트라이크는 상용 침투 테스트 툴킷이지만 뛰어난 은밀성으로 인해 많은 사이버 범죄 조직에서 백도어로 사용하고 있다.

감염된 기기에 배포되는 비콘이라고 불리는 코발트 스트라이크 임플란트는 팀 서버라는 지휘 서버와 통신한다. 비콘과 서버 사이의 트래픽은 공개-비공개 암호화로 보호되며, 키 쌍은 팀 서버가 처음 배포될 때 생성된다. 하지만 블랙베리 연구진은 프로메테우스와 관련된 많은 멀웨어 배포 캠페인이 동일한 코발트 스트라이크 키 쌍을 사용한다는 것을 발견했다.

여기에 NVISO 랩스(NVISO Labs) 연구원인 디디에 스티븐스가 발견해 문서화한 키 쌍도 포함된다. 스티븐스는 이 키 쌍이 또 다른 키 쌍과 함께 인터넷에 존재하는 코발트 스트라이크 팀 서버의 25%에 사용된다고 전했다. 이것은 문제의 키 쌍이 코발트 스트라이크의 해적판의 일부로 배포됐을 가능성이 크다는 것을 암시한다. 일반적으로 각 팀 서버 배포판마다 고유한 키 쌍이 있기 때문이다.

블랙베리 연구진에 따르면, 확실하지는 않지만 프로메테우스 TDS와 관련된 누군가가 이 손상된 복사본을 유지하면서 TDS 구매 시 제공하는 것으로 추정된다. 또한, 이 손상된 버전이 표준 플레이북이나 가상 머신(Virtual Machine, VM) 설치의 일부로 제공될 가능성도 있다.

2020년 1월 이후 많은 사이버 범죄 조직이 이 키 쌍이 있는 코발트 스트라이크를 사용해왔다. 이들이 모두 프로메테우스 고객인지는 확실히 알 수 없지만, 블랙베리 연구진은 다크크리스탈RAT(DarkCrystalRAT), 피커스틸러, 세르베르(Cerber), 레빌(REvil, 다른 명칭은 소디노키비(Sodinokibi), 류크(다른 명칭은 위자드스파이더(WizardSpider)), 블랙매터(BlackMatter)는 프로메테우스 고객이라는 증거를 확인했다. 또한, 작년 그룹-IB의 프로메테우스 분석에 언급된 조직인 MAN1, FIN7, 아이스드ID도 동일한 코발트 스트라이크 해적판을 사용했다.

블랙베리 연구진은 “고객 데이터에서 프로메테우스 및 코발트 스트라이크 관련 활동의 징후를 찾아본 결과, 몇 가지 흥미로운 동향이 발견됐다. 인바운드 TCP 포트 목록에서는 위협 행위자가 인터넷에 접한 인프라에 대한 정찰을 수행하는 포트 스캐닝의 증거를 볼 수 있다. 이들은 조직의 가장 큰 약점인 원격 이용이 가능한 서비스를 찾고 있는 것이 틀림없다”라고 말했다.

윈도우 원격 데스크톱 프로토콜(RDP)에 사용되는 포트 3389에 대한 스캔이 가장 일반적이며, 약 60%의 사례에서 발견됐다. RDP가 랜섬웨어 조직이 네트워크에 침입하는 주된 수단 중 하나라는 점과 앞서 살펴본 것처럼 프로메테우스 고객 목록에 많은 랜섬웨어 조직이 속해 있다는 점을 감안하면 놀라운 결과는 아니다. 또한, 일부 코발트 팀 서버는 프로메테우스를 위한 RDP 점프 스테이션으로 운용되고 있음이 확인됐다. 포트 443(HTTPS), 21(텔넷), 80(HTTP)에 대한 스캔 역시 예상했던 대로 흔하게 발견됐다. 연구진은 톰캣(Tomcat) 자바 웹 서버에서 프로메테우스 관련 IP 주소로 이어지는 연결을 다수 발견했는데, 이는 톰켓 취약점 악용과 코발트 비컨 배포를 의미하는 것일수도 있다.

해적판 코발트 스트라이크 버전과 키 쌍을 사용하는 캠페인에서 가장 일반적인 공격 대상은 공공 부문 조직이다(21%). 상거래, 소매, 교육, 의료 부문이 뒤를 잇지만, 모두 한 자릿수에 불과하다.

블랙베리 연구진은 “프로메테우스는 위협 그룹이 멀웨어나 피싱 작전을 쉽게 진행하는 데 필요한모든 요소를 제공하는 서비스 및 플랫폼이다. 화물 수송 인프라에 비유할 수 있다. 식품이나 석유 화학류를 수송하는 대신 다양한 사이버 공격 기능과 멀웨어를 목적지로 나른다는 것만 다르다. 모순되는 부분이 있다면, 악의적 행위자가 프로메테우스와 같은 서비스를 통해 현실에서 화물 수송 및 기타 핵심 서비스 등 실제 인프라를 제공하는 기업을 공격 목표로 삼을 수도 있다는 것이다”라고 밝혔다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.