사용자가 매크로를 발동시키면 액티브엑스 컨트롤로 추가 다운로더 투입

[이미지 = iclickart]

고얼릭에 의하면 지난 몇 주 동안 액티브엑스 기능을 활용해 자동으로 악성 매크로를 활성화시키는 문서 샘플을 20개도 넘게 발견할 수 있었다고 한다. 주로 멀스팸 캠페인에서 이러한 수법이 활용되고 있었으며, 액티브엑스로 발동된 악성 매크로는 OS탭(OSTAP)이라는 자바스크립트 기반 다운로더를 실행하고, 이 다운로더는 최종적으로 트릭봇 페이로드를 설치하는 것으로 밝혀졌다.

“저희가 발견한 악성 문서들은 대체적으로 이미지를 포함하고 있었습니다. 이 이미지를 보고 피해자들은 콘텐츠를 활성화하기 위해 매크로를 켜게 되죠. 이 이미지에는 액티브엑스 컨트롤이 숨겨져 있습니다. 사용자가 매크로 사용을 허용하는 순간 액티브엑스 컨트롤이 악성 매크로를 실행하고 트릭봇까지 이어지는 공격이 자동으로 실행됩니다. 중간에 다운로드 되는 OS탭 다운로더는 콘텐츠와 콘텐츠 사이의 흰색 글자로서 존재하기 때문에 눈에 띄지 않습니다.”

액티브엑스 컨트롤은 MsRdpClient10NotSafeForScripting이라는 클래스를 사용해 원격 제어를 실시한다고 한다. “스크립트 내 서버(Server) 필드는 비어 있는 상태입니다. 이 때문에 공격 과정 중에 오류가 발생합니다. 이 오류를 공격자가 남용함으로써 임의의 코드를 실행할 수 있게 됩니다.” 고얼릭의 설명이다.

“OS탭은 오류 번호가 정확히 disconnectReasonDNSLookupFailed(260)와 일치하지 않으면 실행되지 않습니다. 발동 조건이 성립되면 OS탭의 wscript 명령어가 실행됩니다. 이 때 오류 번호 계산으로부터 나온 문자들이 매개변수처럼 명령에 적용됩니다.” OS탭은 배치 파일(BAT)의 형태로 생성이 되고, 실행되면서 최초 악성 문서(주로 워드 문서)는 닫힌다.

참고로 액티브엑스 컨트롤 기능은 윈도우 10으로 업데이트 되지 않은 시스템에서는 작동하지 않는다고 한다.

트릭봇은 2016년에 처음 등장한 뱅킹 멀웨어로, 다이어(Dyre)의 후계자처럼 나타났다. 그러나 몇 번의 업그레이드를 거쳐 지금은 다목적, 모듈 기반 크라임웨어가 되어 버렸다. 변화는 지금도 계속되고 있고, 따라서 트릭봇이 앞으로 어떤 방식으로 세계 조직들을 괴롭힐지 몰라 상당히 까다로운 위협으로 인식되어 있다.

게다가 작년 말 트릭봇 운영자들과 북한의 APT 그룹인 라자루스(Lazarus)가 협력 체계를 구축했을 가능성이 높다는 증거가 나오기도 했다. 트릭봇이 개발한 ‘올인원’ 형태의 공격 프레임워크인 앵커(Anchor)를 라자루스가 공격 캠페인에 활용하는 것이 포착되었던 것이다.

“트릭봇이 이렇게 새로운 기능을 계속해서 추가한다면, 방어하는 입장에서도 계속해서 탐지 기술을 추가해야 한다는 뜻입니다. 하지만 이는 대단히 까다롭고 고단한 과정이며, 시간도 많이 잡아먹습니다. 어디로 튈지 모르는 잦은 변화가 가장 방어하기 어려운 위협이라는 걸 트릭봇 공격자들이 잘 이해하고 있는 것으로 보입니다.”

​3줄 요약

1. 변신이 특기인 멀웨어, 트릭봇, 원래는 뱅킹 멀웨어였는데...

2. 이번에도 변신에 성공. 액티브엑스 컨트롤 기능까지 덧입음.

3. 이번 버전은 윈도우 10으로 업그레이드 된 플랫폼에서만 통함.​ 

[국제부 문가용 기자(globoan@boannews.com)] 

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=86749&page=1&mkind=1&kind=​]​