2024-03-29 01:40 (금)
해커들, 자신들 멀웨어 위해 보안연구원 대상으로 함정 만들고 있어
상태바
해커들, 자신들 멀웨어 위해 보안연구원 대상으로 함정 만들고 있어
  • 페소아 기자
  • 승인 2017.02.02 13:52
이 기사를 공유합니다

“공격자들, 보안연구원들 조사 회피하는 방법에 대해 연구중”

MA-1.jpg
정교한 방법으로 피해자들을 감염시키고, 이를 조사하는 연구원들에게 함정을 씌우는 NATO 회원국을 겨냥하는 것으로 보이는 해킹 공격이 확인되었다.

악성 워드문서에 분석을 회피하기 위해 임베디드되지 않는 플래쉬 페이로드를 사용했다는 점에서 이 공격은 일반 멀웨어들과는 다르다고 할 수 있다. 악성 문서의 제목은 'NATO 비밀 회의'이며, 텍스트에는 우크라이나가 NATO 회원국을 타깃으로 하는 것으로 보인다고 언급되어 있다.

일반적으로 멀웨어는 페이로드가 하나의 청크(chunk)로 전달되지만, 이 공격의 경우에는 페이로드가 전달되기 전에 여러 단계를 거친다. 우선 샌드박스나 분석 가상머신이 존재하는지를 확인한 후, 페이로드와 플래쉬 익스플로잇을 요청한다. 이러한 접근법은 공격자의 관점에서 볼 때 매우 영리한 것이다. 공격이 문서에 포함되어 있지 않기 때문에 트로얀 검색 단어로 탐색이 되지 않아 보안 장치에서 탐지하기가 어렵다.

또 다른 특이한 기능은 일단 공격이 발견되면 공격자는 최종 페이로드를 변경해 정크 데이터로 바꾸어 연구자들을 대상으로 한 부비트랩화 시킨다는 것이다. 공격자는 보안 연구원들이 그들의 인프라를 파고든다는 것을 깨닫고, 보안장비에 리소스 문제를 일으키기 위해 인프라를 조작했다.

시스코의 Talos 보안그룹의 위협정보기술 책임자인 Martill Lee는 멀웨어 개발자들의 변화하는 전략이 조사 대상 코드를 더 어렵게 만들고 있다고 말하며, "더 이상 단순한 멀웨어를 이용해 기기를 감염시킬 수는 없다. 이제 악의적인 공격자들이 보안 연구원들과 깊이 있는 조사를 회피하는 방법에 대해서 연구하고 있음이 확실해졌다"라고 설명했다.

연구원들은 이 기술을 "메트로시카 인형 정찰 프레임워크"라고 명명했다. 그러나 그들은 이 공격이 어디에서 오는 것인지에 대해서는 설명할 수 없다고 말했다. "공격자의 목표가 무엇이고, 무엇을 하려고 하는지에 대해서 정확하게 파악하지 못했다. 공격자 확인이 어렵고, 누가 이 사실을 알고 있는지 그 동기가 무엇인지에 대해서 설명할 수가 없다. 그러나 지정학적 분야 문제를 집어넣어 관심을 끌려고 한다"라고 설명했다.

이 공격은 지난 크리스마스와 연말을 통해 이루어졌다. 이에 대해 연구원은 "크리스마스 기간은 잠재적인 방어 능력이 낮기 때문에 악의적인 공격이 발생하기 쉬운 환경이다"라고 설명했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★