세계 금융권 노리는 악성 캠페인, 은밀하고 광범위하게 퍼져

세계 금융권을 노리는 악성 코드 유포 캠페인이 적발됐다. 보안 업체 트렐릭스(Trellix)가 보고서를 통해 발표한 바에 의하면 현재 퍼지고 있는 멀웨어는 스퀴드로더(SquidLoader)이며, 바이러스토탈에서도 탐지율이 매우 낮았다고 한다. 그만큼 눈에 잘 띄지 않는 은밀한 위협이라는 의미다. 이미 홍콩과 싱가포르, 호주 등에서 피해가 누적되고 있어, 소리소문 없이 넓은 영역으로 퍼진 것으로 우려된다.

트렐릭스에 따르면 공격은 스피어 피싱 메일로부터 시작된다고 한다. “이 공격 메일은 중국어 간체로 작성돼 있습니다. 정교하게 만들어져 금융 기관을 매우 그럴 듯하게 사칭하고 있지요. 제목은 ‘해외 은행에서 외환 업무 처리할 때 필요한 투자자 등록 양식’ 정도로 채워져 있습니다. 그 양식이랍시고 메일에는 RAR 압축파일이 첨부돼 있는데, 풀면 악성 실행 파일 하나가 나옵니다.”

이 이메일은 마치 금융 담당자가 보낸 것처럼 꾸며져 있다. ‘금융 기관에서 이런 양식을 받았으니 확인해 보고 의견을 달라’는 내용이다. 즉, 직접 금융 기관을 사칭하는 것만이 아니라 한 번 더 꼬아서 그 금융 기관에서 정보를 받은 금융 담당자까지 사칭한 것. “게다가 문제의 RAR 파일은 MS 워드 아이콘으로 꾸며져 있기도 합니다. 파일 속성까지 공격자들이 만졌기 때문에 검사도 우회합니다.”

이렇게 복잡한 작전을 통해 전파되는 스퀴드로더도 복잡하게 피해자 시스템을 감염시킨다. “총 5단계로 감염이 진행됩니다. 먼저 핵심 페이로드를 압축파일로부터 추출한 뒤 C&C 서버와 연결시킵니다. 이 때 그냥 연결시키면 악성 트래픽으로서 바로 감지가 되니, 큐버네티스 서비스 경로를 모방한 URL을 하나 생성시켜 활용합니다.”

C&C 서버와 연결이 완료되면 공격자는 각종 시스템 정보를 받게 된다. IP 주소, 사용자 이름, 컴퓨터 이름, 윈도 버전 등이 여기에 포함된다. “그런 후 사용자는 피해자 시스템으로 코발트스트라이크(Cobalt Strike)의 비컨(Beacon)을 보냅니다. 그러면 이 비컨은 피해자 컴퓨터에서부터 또 다른 C&C 서버에 접속합니다. 공격자는 이 두 가지 연결을 통해 피해자 컴퓨터를 지속적으로 괴롭힐 수 있게 됩니다.”

그러므로 5단계 감염은 다음과 같이 정리할 수 있다.

1) 압축 파일 내에 숨기기

2) 큐버네티스 서비스 경로 모방한 URL 생성

3) 2)를 가지고 1차 C&C 서버로 연결

4) 코발트스트라이크로 재차 감염

5) 4)를 가지고 2차 C&C 서버로 연결

감염 경로만 복잡한 게 아니다. 기능도 다양하게 갖추고 있다. “스퀴드로더는 다량의 회피 기능을 가지고 있기도 합니다. 여러 가지 분석 기술과 샌드박스, 디버깅 등을 방지할 줄 압니다. 특히 ida.exe와 windbg.exe와 같은 분석 도구들을 탐지하는 기능들이 탑재돼 있어, 공격자들이 방어자들의 상황을 잘 알고 있다는 느낌을 강하게 줍니다.” 그 외에도 충분한 슬립모드 시간과 자가 종료 기능도 눈에 띈다고 트렐릭스는 짚었다.

최근 한국에서도 금융권에서 굵직한 보안 사고들이 터지고 있어 보안 강화에 대한 요구가 높아지고 있는 가운데, 이러한 세계적인 소식에 긴장의 끈을 더 조이게 된다. 트렐릭스는 “너무나 은밀한 것이, 너무나 빠르게, 고도의 기술력으로 퍼지고 있어 경계 태세를 강화해야 한다”고 강조하면서 침해지표들을 공유하기도 했다. 이는 다음과 같다.

1) SHA256

- 홍콩

Bb0f370e11302ca2d7f01d64f0f45fbce4bac6fd5613d8d48df29a83d382d232

B2811b3074eff16ec74afbeb675c85a9ec1f0befdbef8d541ac45640cacc0900

6960c76b624b2ed9fc21546af98e1fa2169cd350f37f6ca85684127e9e74d89c

9dae4e219880f0e4de5bcba649fd0741e409c8a56b4f5bef059cdf3903b78ac2

- 싱가포르

34d602d9674f26fa2a141c688f305da0eea2979969f42379265ee18589751493

- 중국

a244bfcd82d4bc2de30fc1d58750875b638d8632adb11fe491de6289ff30d8e5

- 호주

2d371709a613ff8ec43f26270a29f14a0cb7191c84f67d49c81d0e044344cf6c

2) C&C 서버 주소

hxxps://39.107.156.136/api/v1/namespaces/kube-system/services

hxxps://8.140.62.166/api/v1/namespaces/kube-system/services

hxxps://38.55.194.34/api/v1/namespaces/kube-system/services

 hxxps://47.116.178.227/api/v1/namespaces/kube-system/services

 hxxps://121.41.14.96/api/v1/namespaces/kube-system/services

hxxps://47.116.178.227:443/api/v1/namespaces/kube-system/services

Related Materials

• Threat Analysis: SquidLoader - Still Swimming Under the Radar - Trellix, 2025년
• SquidLoader Malware Campaign Hits Hong Kong Financial Firms - Hackread, 2025년
• SquidLoader Malware Campaign Targets Hong Kong Financial Sector - Infosecurity Magazine, 2025년
• Stealthy SquidLoader Malware Targets Hong Kong Financial Firms with Evasive Cobalt Strike Attacks - SecurityOnline, 2025년