Security

MS의 ‘앱 간 상호작용 활성화’ 기술, 코요테 공격자가 악용

문가용 기자

문가용 기자

MS의 ‘앱 간 상호작용 활성화’ 기술, 코요테 공격자가 악용
Photo by Abbie Chohrach / Unsplash
💡
Editor's Pick
- MS의 UIA라는 프레임워크, 공격에 활용 가능
- 원래는 이론상 개념이었으나, 누군가 실제로 구현
- 코요테라는 뱅킹 멀웨어가 이 방식으로 퍼짐

MS 셰어포인트가 최근 전 세계 보안 전문가들의 주목을 받고 있는 가운데, MS의 ‘UI 자동화(UI Automation, UIA)’ 프레임워크를 악용하는 새 공격 기법이 발견됐다. 보안 업체 아카마이(Akamai)에 의하면 코요테(Coyote)라는 이름의 뱅킹 트로이목마가 이미 이런 방식으로 퍼지고 있다고 한다. 코요테는 MS UIA를 활용해 확산되는 첫 번째 멀웨어로 이름을 남기게 됐다. 

“UIA를 활용해 악성 행위를 한다는 건 몇 달 전만 해도 이론상으로만 존재하는 위협이었습니다. 하지만 지금 그 이론을 실제적인 공격으로 구현한 공격자가 등장한 겁니다. 새로운 유형의 공격이 시작된 것이라고 할 수 있습니다.” 아카마이 측의 설명이다.

UIA의 ‘이론상’ 악용 가능성을 먼저 경고한 것도 아카마이였다. 지난 해 12월 개념증명까지 공개하며 이를 공개했지만, 실제적인 위협이라는 긴장감은 없었다. “UIA는 일종의 API입니다. 윈도 상에서 다른 애플리케이션의 사용자 인터페이스에 접근해 조작할 수 있게 해 주는 기능을 가지고 있습니다. 각종 실험이나 애플리케이션 간 상호작용을 위한 기능이지만, 공격자들에게도 도움이 될 수 있음을 지난 해에 지적한 바 있습니다.”

어떤 면에서 도움이 된다는 것일까? “보통 공격자가 특정 애플리케이션을 공격하려면, 그 애플리케이션의 설계 방식이나 구조에 대한 자세한 지식을 갖추고 있어야 합니다. 그래서 애플리케이션을 면밀히 분석하고 학습하는 편이죠. 하지만 UIA가 그 과정을 단순화시켜줍니다. UIA를 가지고 애플리케이션의 UI를 스캔하고 콘텐츠를 추출한 후, 그것을 활용해 공격을 기획하면 되거든요. 로그인 데이터를 탈취할 수도 있고요.”

한편 코요테는 2024년 2월 처음 발견된 뱅킹 멀웨어다. 당시 남아메리카 지역 금융 조직들 사이에서 퍼지고 있었다. 피싱 오버레이나 키로깅 등으로 은행 고객들의 크리덴셜을 탈취한 뒤, 이를 악용하는 게 코요테 배후 세력의 주요 수법이었다. “하지만 이번에 새로 발견된 변종의 경우, UIA를 활용해 엔드포인트 보안 제품들을 우회하고 있었습니다.”

이번 코요테는 UIA를 통해 피해자가 어떤 뱅킹 사이트를 방문하고 있는지를 파악한다. 인터페이스를 스캔할 때 활성된 창의 제목이나 주소 필드를 확인함으로써 가능해진다. “이전에는 일반 API에 의존했습니다만 UIA를 통해 인터페이스의 여러 요소들을 보다 효율적으로 살필 수 있다는 걸 공격자들이 깨달은 듯합니다. UIA를 통해 피해자가 금융 활동을 하고 있는지, 어떤 기업이나 기관과 하고 있는지를 파악하는 것입니다.”

이번 버전 코요테의 경우 더 많은 정보를 가져가는 것으로 분석됐다. “피해자의 금융 활동이나 거래 은행을 알아내는 데서 그치지 않습니다. 컴퓨터 이름, 사용자 이름, 브라우저 데이터 등 피해자 시스템의 상세 정보를 수집해 C&C 서버로 전송합니다. 로컬에서 대부분의 악성 행위를 수행하기 때문에 트래픽 탐지로도 잘 잡히지 않습니다.”

아카마이가 연구한 바에 따르면 UIA를 통해 공격할 경우, 각종 정보를 보다 쉽게 가져갈 수 있다는 것 말고도 다른 장점들이 존재한다고 한다. “공격자가 원하는 UI 요소를 조작할 수도 있습니다. 저희 실험을 통해서 악성코드로 브라우저 주소창을 조작하고 클릭을 시뮬레이션 해 사용자가 자기도 모르게 피싱 사이트로 접속하게 꾸미기도 했습니다. UIA를 통해서 이런 악성 행위를 실시하면, 화면 상에서는 정상 행위로 보입니다.”

이 때문에 사용자 기업들은 UIA를 통한 수상한 활동 내역을 수집해 분석할 필요가 있다고 아카마이는 강조한다. “여기서도 필요한 게 선제적 방어입니다. 미리부터 UIA와 관련된 로그를 분석하고, 정책을 새롭게 설정해야 합니다. 아직 공격자들이 남미 대륙에서만 움직이고 있다고 안심해서는 안 됩니다. 이런 새로운 기법은 다른 대륙의 공격자들도 곧바로 따라하거든요.”

Read more

인공지능에 꼼수 가르쳤더니 ‘사회 부적응자’ 되더라

인공지능에 꼼수 가르쳤더니 ‘사회 부적응자’ 되더라

💡Editor's Pick for Juniors - 인공지능 클로드의 보상 시스템 살짝 손 봤더니 전방위적 타락 - 거짓말하고, 책임 회피하고, 윤리 가이드라인이 붕괴 - 평가 시스템이 미치는 영향, 기계나 사람이나 지대해 Juniors, 안녕! 테크를 가장 날카롭고 가치 있게 읽어주는 더테크엣지 아빠들이야. 어제 이 편지를 통해 게임이 가진 중독성의 근원에 대해

By 문가용 기자
영국 군, 내년에 대규모 이스포츠 대회 연다?

영국 군, 내년에 대규모 이스포츠 대회 연다?

💡Editor's Pick for Juniors - 영국 군, 40개 동맹국과 함께 이스포츠 대회 열어 - 내년도에 있을 대규모 워게임 훈련...게임 하듯 진행 - 러우 전쟁 치르는 우크라이나 군에서 많은 아이디어 얻어온 듯 Juniors! 안녕! 테크를 가장 날카롭고 가치 있게 읽어주는 더테크엣지 아빠들이야. 영국 군이 내년에 국제적인 규모의 군사

By 문가용 기자
파일 이름 검색 도구 글롭에서 고위험군 취약점 나와

파일 이름 검색 도구 글롭에서 고위험군 취약점 나와

💡Editor's Pick - 개발자들이 널리 사용하는 도구 글롭 - 그 글롭의 명령행 인터페이스에서 취약점 발견돼 - 파일 이름이 공격 도구로 전환돼 개발자들이 흔히 사용하는 오픈소스 패키지인 글롭(glob)에서 위험한 취약점이 발견됐다. 일반 사용자들이 직접 사용할 일은 거의 없어 대중적으로 낯선 이름이지만, 개발자들은 이를 활용해 여러 가지 도구와

By 문가용 기자