사이버 보안 연구진이 최근 데이터 탈취 공격에서 사용되는 RomCom 악성코드의 새로운 변종 'SnipBot'을 발견했다. 팔로 알토 네트웍스 유닛42 연구팀에 따르면, SnipBot은 네트워크 침투 및 데이터 탈취 기술을 더욱 정교하게 활용하고 있어 여러 업종을 대상으로 하는 공격에 큰 위협이 되고 있다.
RomCom은 원래 Cuba 랜섬웨어를 멀버타이징과 피싱 캠페인을 통해 배포하는 백도어로 알려져 왔다. 2023년 말 트렌드 마이크로 연구원들이 발표한 RomCom 4.0은 이전 버전보다 가볍고 은밀했지만, 원격 명령 실행, 파일 탈취, 페이로드 배포, Windows 레지스트리 변경, TLS 프로토콜 기반 C2(명령 및 제어) 통신 등 다수의 강력한 기능을 갖췄다.
이번에 발견된 SnipBot은 RomCom 5.0으로 여겨지며, 데이터 탈취 작업을 더욱 정교하게 제어할 수 있도록 27개의 새로운 명령 세트를 추가했다. 이러한 명령을 통해 공격자는 특정 파일 유형이나 디렉터리를 대상으로 데이터 탈취를 수행할 수 있고, 7-Zip(7집) 도구를 이용해 탈취한 데이터를 압축하거나 탐지를 회피하기 위한 페이로드를 호스트에 주입할 수 있다.
SnipBot 감염 후 활동은 높은 수준의 복잡성을 보여준다. SnipBot은 윈도우 메시지 기반의 흐름 제어 기법을 사용하며, 이는 악성코드의 코드를 여러 블록으로 나눈 뒤, 사용자 정의 윈도우 메시지를 통해 순차적으로 트리거하는 방식으로 작동한다. 이러한 방식은 탐지를 회피하는 데 효과적이다.
SnipBot은 새로운 안티 샌드박싱(anti-sandboxing) 기능을 갖추고 있다. 실행 파일의 해시를 검사하고, "RecentDocs" 레지스트리 키에서 최소 100개의 항목, "Shell Bags" 레지스트리에서 50개의 하위 키가 존재하는지 확인하는 등 다양한 검증 과정을 거친다. 이러한 검증을 통해 샌드박스 환경에서의 분석을 어렵게 하여 탐지를 더욱 어렵게 만든다.
또한 SnipBot의 주요 모듈인 "single.dll"은 Windows 레지스트리에 암호화된 상태로 저장되며, 실행 시 메모리에 로드되어 작동한다. 이는 전통적인 안티바이러스 소프트웨어의 탐지를 회피하는 방식이다. 이와 함께 C2 서버에서 다운로드되는 추가 모듈인 "keyprov.dll"도 메모리에서 복호화되어 실행된다.
유닛42의 분석에 따르면, SnipBot은 바이러스토탈에 제출된 데이터를 통해 감염 경로를 추적할 수 있었다. 초기 감염은 주로 피싱 이메일을 통해 시작되는데, 이러한 이메일에는 PDF와 같은 정당한 파일로 위장된 링크가 포함되어 있어 수신자가 링크를 클릭하도록 유도한다.
또한 어도비 사이트를 위조해 피해자가 PDF 파일을 읽기 위해 필요한 폰트를 다운로드하도록 유도하는 방식도 사용한다. 이를 실행하면 공격자가 제어하는 여러 도메인을 거쳐 최종적으로 악성 다운로드가 이루어지며, 이는 파일 공유 플랫폼인 "temp[.]sh"에서 호스팅된다. 이러한 다운로드 파일은 정당한 인증서로 서명되어 보안 도구를 우회할 수 있다.
감염이 이루어진 후 SnipBot은 COM 하이재킹을 통해 "explorer.exe" 프로세스에 자신을 주입하며, 이를 통해 시스템 재부팅 시에도 지속성을 확보한다. 감염 이후에는 기업의 네트워크 정보 및 도메인 컨트롤러에 대한 정보를 수집하고, Documents, Downloads, OneDrive 디렉터리에서 특정 파일 유형을 탈취하기 시작한다.
이후 공격자는 AD 익스플로러 유틸리티를 사용해 액티브 디렉토리를 탐색하고 편집하며 네트워크 상에서 추가적인 정보를 수집한다. 탈취한 데이터는 WinRAR(윈라)을 이용해 압축한 후 PuTTY(푸티) Secure Copy 클라이언트를 통해 외부로 전송된다.
유닛42 연구진은 SnipBot 공격자의 정확한 목적은 아직 밝혀지지 않았지만, 다양한 대상 및 정교한 데이터 탈취 수법을 고려할 때 이들의 목표가 단순한 금전적 이익에서 스파이 활동으로 전환되었을 가능성이 있다고 추측했다.
보안 전문가들은 SnipBot이 이미 위협적인 RomCom 악성코드의 진화된 형태로, 더욱 강력한 난독화, 안티 샌드박싱 기술, 메모리 상에서의 모듈 실행 기능을 갖추고 있어 그 위협 수준이 상당히 높다고 경고했다. 이들은 다음과 같은 대응 방안을 제시했다:
-이메일 보안 강화: SnipBot은 주로 피싱 이메일을 통해 감염을 시작하므로, 이를 차단하기 위한 강력한 이메일 보안 솔루션을 도입하는 것이 중요하다.
-행위 기반 분석: 전통적인 서명 기반 안티바이러스 솔루션이 탐지하기 어려운 이상 행위를 감지하기 위해서는 행위 기반 분석 시스템을 구축하는 것이 효과적이다.
-네트워크 모니터링: 네트워크 트래픽과 엔드포인트를 지속적으로 모니터링함으로써 예상치 못한 데이터 전송이나 의심스러운 프로세스 실행을 탐지할 수 있다.
-사용자 인식 교육: 직원들을 대상으로 피싱 이메일에 대한 경각심을 높이고, 의심스러운 이메일을 식별하는 방법에 대한 교육을 실시하는 것이 감염 위험을 줄이는 데 도움이 된다.
-레지스트리 모니터링: Windows 레지스트리의 변경 사항을 감시하는 도구를 활용하여 SnipBot과 같은 악성코드가 악성 페이로드를 저장하고 실행하는 것을 탐지하고 방지할 수 있다.
SnipBot의 발견은 악성코드의 정교화가 한층 더 진행되고 있음을 보여주며, 조직들이 사이버 보안에 대한 적극적인 태세를 유지해야 할 상황이다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★