MS 팀즈와 구글 미트 통해 퍼지는 백도어, 랜섬웨어 심는다

MS 팀즈(MS Teams)와 구글 미트(Google Meet)를 통해 악성 코드를 유포하는 기법이 다시 한 번 성행하고 있다는 경고가 나왔다. 현재까지는 금융 산업 내 종사자들이 주요 표적인 것으로 파악되고 있으나 다른 산업으로도 불똥이 튀지 말라는 법이 없어 안심하기에는 이르다고 보안 기업 사이버프루프(CyberProof)가 경고했다. 

공격 진행 방식

사이버프루프가 발표한 내용에 의하면 공격자는 일련의 피해자들을 추린 뒤, 그 피해자들이 자주 검색하는 소프트웨어가 무엇인지를 파악한다. 물론 소수의 특정 타깃만 노린 공격이 아니기에 세밀한 정찰이 이뤄지는 건 아니다. 비교적 광범위한 부류의 사람들이 사용할 법한 소프트웨어를 노렸다. 협업 소프트웨어의 대표격인 팀즈와 미트가 여기에 악용된 건 이 때문이다.

“이 과정에서 공격자들은 몇 가지 검색 키워드를 선정했습니다. ‘Microsoft Teams download’나 ‘Google Meet download’, PuTTY, WinSCP 등이었죠. 회사 업무를 하고 생산성을 높이는 데 필수적인 도구, 특히 금융권과 기업 환경에서 자주 사용하는 도구들을 주로 고른 것입니다. 이런 소프트웨어들을 찾는 사람들이 검색할 때 ‘다운로드’라는 단어를 같이 붙인다는 것도 파악하고 있었습니다.” 사이버프루프의 설명이다.

키워드를 선정했다면, 그 다음 할 일은 SEO 포이즈닝(SEO Poisoning) 공격을 실시할 차례다. 피해자들이 위 키워드로 검색했을 때 나오는 결과를 공격자들이 조작하려는 것이다. 이를 위해 공격자들은 먼저 가짜 다운로드 사이트를 만들었다. 그런 다음 검색엔진 최적화 기법을 악용해 검색 결과 창에 자신들이 만든 사이트가 제일 위에 뜨도록 했다. “검색엔진 사용자들이 대부분 위쪽에 위치한 결과들부터 클릭한다는 걸 이용한 공격입니다. 가짜 사이트에 접속하는 사람들은 오이스터(Oyster)라는 백도어에 감염됩니다.”

공격자들은 덫을 하나 더 놓았다. 멀버타이징 공격도 같이 진행한 것이다. “악성 광고를 통해 피해자들을 악성 사이트로 유도하는 기법입니다. SEO 포이즈닝이 ‘검색 결과 창을 조작해서’ 피해자들을 악성 사이트로 이끌었다면, 멀버타이징은 ‘가짜 광고를 클릭하게 함으로써’ 피해자들을 속이는 것이라 할 수 있습니다. 주로 ‘공식 다운로드’라든가, ‘최신 버전’, ‘빠른 설치’와 같은 표현을 광고에 노출시켜 클릭을 유발했습니다.”

이들이 만든 악성 페이지는 공식 MS 및 구글 페이지와 거의 동일했다. “로고와 테마 색상, 버튼까지 똑같이 복제했습니다. HTTPS 인증서도 있어 브라우저 창에 자물쇠 표시가 뜨기까지 합니다. 얼른 봐서는 진짜인지 가짜인지를 구분할 수가 없습니다. 그러니 사용자는 아무 의심 없이 ‘다운로드’ 버튼을 누르게 되는 겁니다.”

다운로드 되는 파일 역시 이름이 그럴 듯하다고 사이버프루프는 설명한다. “MSTeamsSetup.exe와 같은 이름입니다. 정말 팀즈라는 애플리케이션의 설치 파일처럼 생겼죠. 더블 클릭 해서 실행하면 진짜 설치 파일처럼 작동하기까지 합니다. 일부 샘플들의 경우 코드 서명으로 인증까지 됐습니다. 그러니 어떤 백신이나 멀웨어 탐지기는 이를 잡아내지 못합니다.”

오이스터 백도어

이 캠페인의 목적은 피해자 컴퓨터에 오이스터를 심는 것이었다. 가짜 실행 파일이 실제 실행 파일처럼 프로그램 설치를 진행할 때, 배경에서는 오이스터가 조용히 심긴다. “AlphaSeurity.dll이라는 악성 DLL 파일이 문제의 핵심입니다. 이 악성 파일이 시스템 폴더에 복제됩니다. 배경에서 진행되는 일이라 사용자는 알 수가 없습니다.”

자리를 잡은 오이스터는 스케줄러를 조작한다. AlphaSecurity라는 이름으로 작업을 예약해 두는 것인데, 이렇게 함으로써 공격을 지속할 수 있게 하는 것이다. “18분에 한 번씩 악성 DLL이 실행되도록 하고 있습니다. 그러므로 피해자가 PC를 재부팅해도 백도어가 다시 살아나 활동을 재개합니다. 컴퓨터를 끄지 않으면, 장기간 악성 행위를 이어갈 수 있고요.”

오이스터는 피해자 컴퓨터로부터 시스템 정보, 사용자 계정, 네트워크 환경, 실행 중인 프로세스, 설치된 보안 솔루션 목록 등의 정보를 빼돌린다. 이 정보를 받은 공격자는 추가 공격을 이어갈지, 이어간다면 어떤 공격을 해나갈지를 결정한다. “기업 네트워크라면 내부 서버로 이동하고, 금융 기관이라면 중요한 시스템에 접근합니다. 가치가 높다고 판단되는 경우, 접근 권한을 랜섬웨어 그룹에 판매하기도 합니다. 실제로 라이시다(Rhysida)라는 유명 랜섬웨어 그룹이 이들과 이런 거래를 한 것으로 추정됩니다.”

그런 추정이 가능한 건 최근 라이시다가 오이스터를 ‘최초 침투 도구’로 활용하기 시작했기 때문이다. 오이스터를 먼저 들여보내 놓고 추후 랜섬웨어 공격을 이어가는 것인데, 오이스터가 감염시킨 모든 시스템을 공격하는 건 아니라고 사이버프루프는 설명한다. “랜섬웨어 공격을 할 가치가 충분하다고 판단될 경우만 랜섬웨어 공격을 합니다. 그것도 피해자 내부 구조를 충분히 파악한 뒤, 그래서 가장 많은 피해를 줄 수 있을 때 공격을 개시하죠. 그래서 오이스터에 감염되고서 많으면 수개월 뒤에 랜섬웨어 사태가 벌어지기도 합니다.”

점점 경계가 흐려지는 사이버 공격

사이버프루프는 “이 캠페인의 가장 위험한 점은 ‘랜섬웨어’가 아니”라고 평가한다. “공격의 시발점이 되는 오이스터가, 마치 정상 소프트웨어가 설치되는 듯한 화면 뒤에서 몰래 활동을 시작한다는 겁니다. 피해자는 자신이 어떤 링크나 광고를 클릭해서 감염됐는지, 그 시점을 알기가 힘듭니다. 즉, 자신이 웹 상에서 무슨 위험한 행동을 했는지 되짚지 못하고, 그러므로 같은 행위를 반복할 수가 있다는 겁니다.”

그렇기 때문에 사이버프루프는 “소프트웨어 다운로드 방식을 바꿀 필요가 있다”고 강조한다. “자기가 원하는 소프트웨어를 누가 개발했는지를 조사하고, 그 회사 공식 사이트의 주소를 브라우저 주소창에 직접 입력해 찾아 들어가는 것을 권합니다. 그런 다음 그 사이트에서 다운로드를 시작해야 합니다. 모바일이라면 공식 스토어만을 이용하는 것이 안전합니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• [1] SEO Poisoning and Fake PuTTY Sites: Darktrace’s Investigation into the Oyster Backdoor, 2024년
• [2] Oyster Malware Targets IT Admins via SEO Poisoning (Active IOCs 포함), Rewterz, 2024년
• [3] Rhysida Using Oyster Backdoor in Attacks – Malvertising 및 SEO Poisoning 활용 사례, Arete IR, 2024년
• [4] Fake Microsoft Teams Installers Push Oyster Malware via Malvertising and SEO Poisoning, DigiCert OSINT Report, 2024년

랜섬웨어 흉내만 내는 새 안드로이드 멀웨어, 드로이드록

💡Editor’s Pick - 랜섬웨어는 아닌데, 랜섬웨어의 모든 특징 가지고 있어 - 파일 암호화 기능만 빠져...피해자가 느끼는 압박감은 같아 - 금전 요구가 진짜인지 허풍인지는 아직 확인 어려워 안드로이드 생태계를 위협하는 멀웨어가 새롭게 등장했다. 보안 기업 짐페리움(Zimperium)이 발견한 것으로, 이름은 드로이드록(DroidLock)이라고 한다. 이것에 감염되면 사용자는 자신의 휴대폰에

The Tech Edge문가용 기자

랜섬웨어 공격자들, 비즈니스 파트너 아니다

💡Editor Pick - 랜섬웨어 피해자 절반 가까이 몸값 지불 - 공격자 협상 방식 변화, 신뢰도 일시적 상승 - 예방과 백업이 유일한 대책, 기업 실무자 스트레스 증가 예스24(Yes24)가 랜섬웨어 공격자와 협의했던 것으로 보이는 가운데, 랜섬웨어 피해자들 중 절반 가까이가 공격자들이 요구한 돈을 지불한 것으로 조사됐다. 데이터를 보호하기 위한 사용자들의

The Tech EdgeDonghwi Shin