2020.09.01

'이제 이메일 대화도 훔친다'··· 큐봇의 진화는 '현재진행형'

Lucian Constantin | CSO
새로 발견된 변종 큐봇은 종전 이메일 스레드를 활용함으로써 클릭을 유도하는 참신한 기법을 갖췄다. 

지난 10년간 큐봇 트로이안은 컴퓨터 사용자와 기업들을 성가시게 했다. 해커들이 새로운 속임수를 계속해서 개발함에 따라 큐봇은 오늘날까지도 유달리 위협적인 맬웨어로 자리매김하고 있다. 보안 연구원들은 최근 피해자의 이메일 스레드를 활용해 확산되는 맬웨어를 발견했다. 
 
ⓒGetty Image Bank

이 맬웨어의 최신 확산 경로를 추적하는 보안 기업 체크포인트의 연구원들에 따르면, 초기 온라인 뱅킹 신원정보를 탈취하는 뱅킹 트로이안이었던 큐봇의 진화가 지속되고 있다. 이제 ‘스위스 '맥가이버 칼'처럼 범용적인 존재로 진화하며 랜섬웨어 배포 등 다양한 목적으로 사용된다. 큐봇은 칵봇(Qakbot) 내지는 핑크슬립봇(Pinkslipbot)으로도 불린다.

그러던 지난달 말, 변종 큐봇이 이모텟(Emotet)이라는 이름의 또다른 트로이안에 의해 유포되기 시작했다. 새로운 특성과 명령 및 제어 인프라를 보유한 이번 변종 큐봇은 이달 초 새로운 스팸 캠페인이 출현하면서 확산되고 있다. 

체크 포인트(Check Point)의 연구원들은 최신 보고서에서 “큐봇의 새로운 속임수 중 하나가 특히 골칫거리다. 새로운 큐봇은 기기를 감염시킨 뒤 ‘이메일 수집 모듈’을 활성화시킨다. 그런 다음 피해자의 아웃룩 클라이언트에서 모든 이메일 스레드를 추출해 하드코딩 된 원격 서버에 업로드 한다”라고 설명했다.

이어 “이렇게 탈취된 이메일 정보는 향후 스팸 메일 대량 전송에 사용된다. 스팸 메일은 사용자가 기존에 주고받던 이메일처럼 보이기 때문에 이메일 사용자는 자기도 모르게 스팸 메일 속의 감염 파일을 클릭하게 된다”라고 덧붙였다. 

체크포인트는 큐봇이 삽입된 이메일 스레드를 입수했다. 이 스레드들은 코로나19 유행병, 세금 고지, 채용 공고 같은 주제와 연관돼 있었다. 

이러한 조직적인 스팸메일의 타깃이 된 조직의 1/3은 미국에 위치하고 있었지만 유럽 기업들도 만만치 않은 영향을 받았다. 스팸이 표적으로 삼은 산업군은 주로 정부, 군사, 제조, 보험, 법률, 의료 및 금융이었다.

변종 큐봇은 어떻게 확산될까?
일반적으로 큐봇의 감염 경로는 그리 정교하지 않지만 올 4월부터는 감염 방식이 달라졌다. 과거 큐봇은 문서형 매크로 악성코드를 사용하곤 했다. 하지만 최근 스팸 메일에는 VBS(VBScript) 기반의 다운로더 스크립트가 있는 .zip 파일로 연결되는 URL이 포함되어 있다.

이런 스크립트는 마이크로소프트가 개발한 언어이기 때문에 인터넷 익스플로러 환경에서 네이티브로 실행되었다. 하지만 이 스크립트는 수년간 해커들에 의해 악용되면서 지난해부터 사용 빈도가 감소하고 있다. 그럼에도 해커들은 많은 기업들이 여전히 최신 보안 업데이트가 없는 구버전의 윈도우와 인터넷 익스플로러를 사용하고 있다는 사실을 알고 있다. 

큐봇이 사용하는 VBS 다운로더는 일반적으로 가상 머신과 분석 샌드박스를 감지한 다음 6개의 하드코딩 된 URL에서 .exe 페이로드를 가져온다. 페이로드가 성공적으로 실행되면 컴퓨터에 큐봇 맬웨어가 배포된다. 

이번 변종 큐봇은 이메일 스레드를 탈취한 다음 스팸 이메일을 보낼 때 메일 수신자가 의심을 거의 하지 못하도록 꼼수를 쓴다는 점에서 주목할 만하다. 체크 포인트가 사례로 제공한 이메일 스레드에는 코로나 19 시기에서 비즈니스 연속성을 달성하는 방법처럼 상당수 조직들이 관심있어 할 만한 주제가 포함되어 있었다. 그 외에 C#, 자바, 파워셸을 다룰 줄 아는 경력 개발자 구인 공고에 대한 이메일 답신도 포함돼 있었다. 악성 이메일에 포함된 URL은 해킹된 워드프레스 사이트에 호스팅된 .zip 파일로 연결돼 있었다. 

큐봇의 모듈식 아키텍처를 계승한 변종 큐봇 
큐봇 맬웨어는 모듈식이므로 각 구성 요소가 서로 다른 기능을 한다. 체크 포인트의 연구원들은 변종 큐봇에서 다음과 같은 새 모듈들을 발견했다.

•    명령 및 통제 서버와 통신하고 받은 명령을 실행하기 위해 사용되는 모듈
•    아웃룩에서 이메일 스레드를 훔치는 이메일 수집기
•    웹 양식을 브라우징 세션에 주입하는 후킹 모듈
•    비밀번호 훔치기 모듈
•    공격자가 피해자의 컴퓨터에 원격으로 접속할 수 있게 해주는 VNC 플러그인
•    브라우저에서 인증 쿠키를 훔쳐 세션 하이재킹을 시도할 수 있게 해주는 쿠키 탈취 모듈
•    업데이트 모듈
•    프록시 모듈

연구원들은 “큐봇은 횡방향 확산(lateral movement)을 하므로 피해자 컴퓨터가 큐봇에 감염되면 로컬 네트워크의 다른 컴퓨터들도 잠재적으로 위협에 노출된다" 라고 설명했다. 이어 “맬웨어는 피해자의 컴퓨터가 큐봇 인프라에 속해 봇으로 기능할 수 있는지 여부를 확인한다”라고 말했다. 

이번 연구는 큐봇이 여전히 위협적인 존재일 뿐아니라, 전보다 훨씬 더 위협적인 맬웨어가 될 수 있다는 사실을 보여준다. 해커들이 새로운 기능과 기법을 추가하면서 변종을 만드는 걸 즐기기 때문에 트로이안의 유포는 계속될 것으로 보인다. 따라서 기업들은 이모텟이나 큐봇에 의해 회사 기기들이 감염되지 않도록 더욱 주의를 기울여야 한다. 왜냐하면 이모텟과 큐봇은 기업 네트워크에 맬웨어를 배포하는 플랫폼으로 사용되거나 혹은 랜섬웨어가 확산되는 통로 역할도 종종 하기 때문이다. ciokr@idg.co.kr
 



2020.09.01

'이제 이메일 대화도 훔친다'··· 큐봇의 진화는 '현재진행형'

Lucian Constantin | CSO
새로 발견된 변종 큐봇은 종전 이메일 스레드를 활용함으로써 클릭을 유도하는 참신한 기법을 갖췄다. 

지난 10년간 큐봇 트로이안은 컴퓨터 사용자와 기업들을 성가시게 했다. 해커들이 새로운 속임수를 계속해서 개발함에 따라 큐봇은 오늘날까지도 유달리 위협적인 맬웨어로 자리매김하고 있다. 보안 연구원들은 최근 피해자의 이메일 스레드를 활용해 확산되는 맬웨어를 발견했다. 
 
ⓒGetty Image Bank

이 맬웨어의 최신 확산 경로를 추적하는 보안 기업 체크포인트의 연구원들에 따르면, 초기 온라인 뱅킹 신원정보를 탈취하는 뱅킹 트로이안이었던 큐봇의 진화가 지속되고 있다. 이제 ‘스위스 '맥가이버 칼'처럼 범용적인 존재로 진화하며 랜섬웨어 배포 등 다양한 목적으로 사용된다. 큐봇은 칵봇(Qakbot) 내지는 핑크슬립봇(Pinkslipbot)으로도 불린다.

그러던 지난달 말, 변종 큐봇이 이모텟(Emotet)이라는 이름의 또다른 트로이안에 의해 유포되기 시작했다. 새로운 특성과 명령 및 제어 인프라를 보유한 이번 변종 큐봇은 이달 초 새로운 스팸 캠페인이 출현하면서 확산되고 있다. 

체크 포인트(Check Point)의 연구원들은 최신 보고서에서 “큐봇의 새로운 속임수 중 하나가 특히 골칫거리다. 새로운 큐봇은 기기를 감염시킨 뒤 ‘이메일 수집 모듈’을 활성화시킨다. 그런 다음 피해자의 아웃룩 클라이언트에서 모든 이메일 스레드를 추출해 하드코딩 된 원격 서버에 업로드 한다”라고 설명했다.

이어 “이렇게 탈취된 이메일 정보는 향후 스팸 메일 대량 전송에 사용된다. 스팸 메일은 사용자가 기존에 주고받던 이메일처럼 보이기 때문에 이메일 사용자는 자기도 모르게 스팸 메일 속의 감염 파일을 클릭하게 된다”라고 덧붙였다. 

체크포인트는 큐봇이 삽입된 이메일 스레드를 입수했다. 이 스레드들은 코로나19 유행병, 세금 고지, 채용 공고 같은 주제와 연관돼 있었다. 

이러한 조직적인 스팸메일의 타깃이 된 조직의 1/3은 미국에 위치하고 있었지만 유럽 기업들도 만만치 않은 영향을 받았다. 스팸이 표적으로 삼은 산업군은 주로 정부, 군사, 제조, 보험, 법률, 의료 및 금융이었다.

변종 큐봇은 어떻게 확산될까?
일반적으로 큐봇의 감염 경로는 그리 정교하지 않지만 올 4월부터는 감염 방식이 달라졌다. 과거 큐봇은 문서형 매크로 악성코드를 사용하곤 했다. 하지만 최근 스팸 메일에는 VBS(VBScript) 기반의 다운로더 스크립트가 있는 .zip 파일로 연결되는 URL이 포함되어 있다.

이런 스크립트는 마이크로소프트가 개발한 언어이기 때문에 인터넷 익스플로러 환경에서 네이티브로 실행되었다. 하지만 이 스크립트는 수년간 해커들에 의해 악용되면서 지난해부터 사용 빈도가 감소하고 있다. 그럼에도 해커들은 많은 기업들이 여전히 최신 보안 업데이트가 없는 구버전의 윈도우와 인터넷 익스플로러를 사용하고 있다는 사실을 알고 있다. 

큐봇이 사용하는 VBS 다운로더는 일반적으로 가상 머신과 분석 샌드박스를 감지한 다음 6개의 하드코딩 된 URL에서 .exe 페이로드를 가져온다. 페이로드가 성공적으로 실행되면 컴퓨터에 큐봇 맬웨어가 배포된다. 

이번 변종 큐봇은 이메일 스레드를 탈취한 다음 스팸 이메일을 보낼 때 메일 수신자가 의심을 거의 하지 못하도록 꼼수를 쓴다는 점에서 주목할 만하다. 체크 포인트가 사례로 제공한 이메일 스레드에는 코로나 19 시기에서 비즈니스 연속성을 달성하는 방법처럼 상당수 조직들이 관심있어 할 만한 주제가 포함되어 있었다. 그 외에 C#, 자바, 파워셸을 다룰 줄 아는 경력 개발자 구인 공고에 대한 이메일 답신도 포함돼 있었다. 악성 이메일에 포함된 URL은 해킹된 워드프레스 사이트에 호스팅된 .zip 파일로 연결돼 있었다. 

큐봇의 모듈식 아키텍처를 계승한 변종 큐봇 
큐봇 맬웨어는 모듈식이므로 각 구성 요소가 서로 다른 기능을 한다. 체크 포인트의 연구원들은 변종 큐봇에서 다음과 같은 새 모듈들을 발견했다.

•    명령 및 통제 서버와 통신하고 받은 명령을 실행하기 위해 사용되는 모듈
•    아웃룩에서 이메일 스레드를 훔치는 이메일 수집기
•    웹 양식을 브라우징 세션에 주입하는 후킹 모듈
•    비밀번호 훔치기 모듈
•    공격자가 피해자의 컴퓨터에 원격으로 접속할 수 있게 해주는 VNC 플러그인
•    브라우저에서 인증 쿠키를 훔쳐 세션 하이재킹을 시도할 수 있게 해주는 쿠키 탈취 모듈
•    업데이트 모듈
•    프록시 모듈

연구원들은 “큐봇은 횡방향 확산(lateral movement)을 하므로 피해자 컴퓨터가 큐봇에 감염되면 로컬 네트워크의 다른 컴퓨터들도 잠재적으로 위협에 노출된다" 라고 설명했다. 이어 “맬웨어는 피해자의 컴퓨터가 큐봇 인프라에 속해 봇으로 기능할 수 있는지 여부를 확인한다”라고 말했다. 

이번 연구는 큐봇이 여전히 위협적인 존재일 뿐아니라, 전보다 훨씬 더 위협적인 맬웨어가 될 수 있다는 사실을 보여준다. 해커들이 새로운 기능과 기법을 추가하면서 변종을 만드는 걸 즐기기 때문에 트로이안의 유포는 계속될 것으로 보인다. 따라서 기업들은 이모텟이나 큐봇에 의해 회사 기기들이 감염되지 않도록 더욱 주의를 기울여야 한다. 왜냐하면 이모텟과 큐봇은 기업 네트워크에 맬웨어를 배포하는 플랫폼으로 사용되거나 혹은 랜섬웨어가 확산되는 통로 역할도 종종 하기 때문이다. ciokr@idg.co.kr
 

X