파이어아이, 멀웨어 3종 조합한 악성 피싱 캠페인 발견

세 가지 멀웨어 연쇄 동작하지만, 흔적은 하나만 남아...파일 기반 백신으로는 탐지 어려워

[보안뉴스 이상우 기자] 파이어아이가 ‘UNC2529 그룹’의 2020년 12월 글로벌 피싱 캠페인에 대한 정보와 해당 캠페인에서 사용된 새로운 멀웨어 3종을 공개했다. UNC2529 그룹은 대규모 인프라와 맞춤형 멀웨어를 동원해 정교한 침해 활동을 진행하는 것으로 확인됐으며, 많은 경험과 자원을 보유한 공격자인 만큼 주의가 필요하다. 이에 파이어아이는 UNC2529 그룹의 전술과 멜웨어에 대해 이전에 알려지지 않았던 특징을 공개하고 위협에 대비할 것을 권고했다.

​

▲UNC2529 그룹의 1차 캠페인 타깃 산업 및 지역별 비율[자료=파이어아이]

UNC2529 그룹은 12월 피싱 캠페인에 상당한 양의 자원과 50여개의 도메인을 다양한 단계의 위협에 사용했다. 또한, 난독화 및 파일리스 멀웨어를 광범위하게 활용해 탐지를 어렵게 만들었다. 이 그룹은 맞춤형 피싱 도구 등 정교함을 바탕으로 한 전문적이고 자원이 풍부한 그룹으로 관찰됐으며, 피싱 캠페인의 가장 큰 동기는 금전적인 것으로 파악된다.

이들은 지난 2020년 12월 2일 1차 피싱 캠페인을 진행했으며, 2020년 12월 11일과 18일 사이에 2차 캠페인에 착수했다. 1차 캠페인에서는 28개 이상의 조직이 피싱 이메일을 받았다. 피싱 이메일에는 피해자가 파일을 내려받도록 유도하는 악성 URL 링크가 포함됐다. 1차 캠페인 이후 미국 냉난방 서비스 회사가 소유한 도메인을 탈취해 DNS 항목을 수정한 후, 이 인프라를 활용해 최소 22개 조직에 피싱 공격을 진행했다.

합법적인 도메인이 어떻게 손상됐는지 아직 명확히 알려진 바가 없지만, 새로 관찰된 20개의 도메인을 활용해 페이로드를 호스팅한 것으로 추측된다. 또한, 2차 피싱 캠페인에서는 수정한 URL 패턴을 사용했다.

UNC2529는 타깃을 정하고 타깃별 맞춤형 피싱 공격을 진행했다. 전자제품 회사, 금융기관, 보험회사, IT 서비스 조직 등 기업별로 각기 다른 회신 또는 승인과 같은 미끼성 피싱 이메일 제목을 사용했다. 이들은 해당 회사가 현재 어떤 프로젝트를 추진 중인지 살피고, 이를 토대로 맞춤형 피싱을 진행했다.

피싱 캠페인은 전 세계 조직을 타깃으로 삼았다. 1차·2차 캠페인 모두 주요 타깃은 미국이었으나, 유럽·중동·아프리카(이하 EMEA), 아시아, 호주도 주요 목표에 포함됐다. 특히, 2차 캠페인에서는 EMEA 비중이 늘어났다.

​

▲2차 캠페인 타깃 산업 및 지역별 비율[자료=파이어아이]

해당 피싱 캠페인에서 사용된 3가지 멀웨어는 △더블드래그(DOUBLEDRAG) △더블드롭(DOUBLEDROP) △더블백(DOUBLEBACK)이다. 피해자가 피싱 이메일에 포함된 악성 페이로드 다운로드 링크를 누르면 위협이 시작되는데, 이 작업은 자바 스크립트 다운로더인 더블드랙이 진행한다. 이후 드롭퍼(더블드롭)가 작동하면서 손상된 시스템에 백도어를 심기 위한 초기 설정이 수행된다. 마지막으로 백도어(더블백)가 성공적으로 자리를 잡는다.

맨디언트는 3가지 멀웨어가 연쇄 동작하는 것을 관찰하면서 한 가지 흥미로운 사실을 발견했다. 피해 시스템의 파일시스템에는 다운로더 흔적만 남는다는 것이다. 다른 악성코드는 외부 공격 인프라에 있는 레지스트리 데이터베이스와 직렬화되면서 피해 시스템에는 존재하지 않는다. 따라서 파일 기반 백신 엔진으로는 탐지가 어렵다는 설명이다.

[이상우 기자(boan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=97301&page=1&kind=1)]​