인보이스 피싱 이메일을 사용하여 다양한 멀웨어를 유포하는 정교한 사이버 공격이 발견됐다. 최근 포티넷 포티가드랩 기술 보고서에는 위협 행위자가 시스템에 침투해 민감한 정보를 유출하기 위해 작업한 복잡한 작전을 상세히 설명하고 있다.

공격은 확장 가능한 벡터 그래픽(SVG) 파일이 첨부된 피싱 이메일을 전송하는 것으로 시작된다. 첨부 파일을 클릭하면 피해자는 자신도 모르게 복잡한 감염 시퀀스를 활성화하게 된다.

이 공격의 핵심은 BatCloak 및 ScrubCrypt와 같은 난독화 도구를 활용하고 있다는 점이다. 2022년 말부터 구매할 수 있는 멀웨어 난독화 엔진인 BatCloak은 기존의 탐지 메커니즘을 회피하도록 설계된 방식으로 다음 단계 페이로드의 로딩을 용이하게 한다. 2023년 3월 포티넷이 처음 문서화한 크립터인 스크럽크립트는 배치 스크립트를 난독화하는 데 사용되어 탐지를 더욱 복잡하게 만든다.

분석된 최신 캠페인에서 SVG 파일은 배치 스크립트가 포함된 ZIP 아카이브를 전달하는 통로 역할을 하며, 이 아카이브는 배트클로크를 사용하여 제작된 것으로 보인다. 이 스크립트는 스크럽크립트 배치 파일의 압축을 풀고, 궁극적으로 공격자가 감염된 시스템의 제어권을 장악하고 민감한 정보를 수집하며 명령 및 제어(C2) 서버에서 받은 명령을 실행할 수 있게 해주는 퀘이사 RAT의 포크인 베놈 RAT를 실행한다.

특히, 이 공격은 나노코어 RAT, 엑스웜, 렘코스랫 등 추가적인 멀웨어 페이로드를 배포한다. 난독화된 VBS 스크립트, 스크럽크립트, 굴로더 파워셸을 통해 베놈 RAT의 C2 서버로 배포되어 공격의 복잡성을 한층 더 높인다.

또한, 공격자는 플러그인 시스템을 사용하여 시스템에 대한 정보를 수집하고 암호화폐 지갑 및 애플리케이션과 관련된 폴더에서 데이터를 유출할 수 있는 스텔러를 배포한다. 표적이 된 지갑과 애플리케이션에는 Atomic Wallet, Electrum, 이더리움, 엑소더스, 잭스 리버티(2023년 3월부로 폐지), 지캐시, 폭스메일, 텔레그램 등이 있다.

이 사이버 공격을 분석한 결과 여러 계층의 난독화 및 회피 기술을 활용하는 매우 정교한 작전으로 밝혀졌다. 공격자들은 악성 첨부 파일이 포함된 피싱 이메일, 난독화된 스크립트 파일, 파워쉘 로더를 사용하여 피해자 시스템에 침투하고 손상시킨다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★