‘채용 제안 유혹에 맬웨어 유입’ 라자루스 그룹, 델 드라이버 취약점 침투

라자루스 해킹 그룹은 채용 제안을 가장하는 식으로 피해자에 접근해 컴퓨터에 맬웨어를 유입시켰다. 이 맬웨어는 델이 만든 OEM 드라이버의 취약점을 악용한다. 
 
북한의 악명 높은 국가 지원 해커 그룹인 라자루스가 보안 솔루션의 탐지를 피하고자 델이 개발한 OEM 드라이버의 알려진 취약성을 이용하기 시작했다. 

PC 운영체제 업데이트를 항상 최신 상태로 유지하는 것이 왜 중요한지 보여주는 사례다. 

바이러스 백신 업체 ESET의 보안 연구원들은 최근 보고서에서 “가장 눈에 띄는 공격 수법은 델 드라이버 CVE-2021-21551에 있는 취약점을 악용해 커널 메모리 읽기/쓰기 권한을 탈취한 해킹 도구였다”라고 말했다. 연구진은 “현장에서 이 취약점이 공격당한 적은 처음이다. 공격자는 커널 메모리 권한으로 레지스트리, 파일 시스템, 프로세스 생성, 이벤트 추적 등과 같이 윈도우 운영체제가 시스템을 모니터링하기 위해 사용하는 7가지 메커니즘을 비활성화했다. 즉 운영체제의 보안 기능을 가장 단순하면서 확실한 방법으로 무력화시킨 셈이다”라고 설명했다. 
 

채용 제안으로 유혹 

ESET이 조사한 새 공격 수법은 일명 히든 코브라(Hidden Cobra)로 불리기도 한다. 해커들은 네덜란드의 한 항공 우주 회사 직원과 벨기에 언론 기관의 직원을 겨냥했다. 항공 우주 회사의 직원은 링크드인에서 Amzon_Netherlands.docx라는 파일이 첨부된 메시지를 받았다. 연구진은 문서의 내용을 알아내지 못했지만 아마존 카이퍼 우주 프로젝트와 관련된 채용 제안이었으리라 추측했다.

비슷하게 벨기에 언론사의 직원도 AWS_EMEA_Legal_.docx이라는 문서가 첨부된 이메일을 받았다. 이 또한 허위 AWS 채용 제안으로 추정된다.  

이런 허위 채용 제안 수법은 2019년과 2020년 라자루스가 항공우주 및 방위산업 분야의 직원을 겨냥한 방식과 궤를 같이한다. 
첨부 파일은 원격 템플릿 기법을 사용한다. 외부 서버에서 불러들인 악성코드가 맬웨어 드로퍼를 실행해 다단계식 악성코드 배포(multi-stage payload)를 시작한다. 
 

트로이 맬웨어 및 DLL 가로채기

이전 공격 방식과 비슷하게 라자루스 해킹 그룹은 DLL 검색 경로에 취약점이 있는 응용 프로그램을 노렸다. 즉, 특정 이름이 지정된 DLL을 찾고 시스템 라이브러리 폴더보다 사용자가 쓸 수 있는 디렉터리를 집중적으로 겨냥한다는 의미다. 

결과적으로 악성 DLL이 포함된 응용프로그램이 실행돼 시스템 메모리에 로드된다. 이렇게 되면 보안 프로그램의 감시망을 벗어날 수 있다. 

한 공격에서 해커들은 합법적인 시스템 응용 프로그램인 colorcpl.exe(Color Control Panel)와 함께 악의적인 coloui.dll을 사용했지만 C:\ProgramData\라는 폴더에 배치했다. PTC\. 이 응용 프로그램은 일반적으로 %WINDOWS%\System32\에 있다. 다른 예에서는 credui.dll을 메모장++ 텍스트 편집 응용 프로그램을 위한 플러그인인 WFS.exe와 함께 사용했다. 또 다른 예로는 C++ 응용 프로그램을 개발하기 위한 레큐이 사용자 인터페이스 라이브러리의 일부인 SMSvcHost.exe와 함께 cryptsp.dll이 있다.

이러한 악성 프로그램 드롭은 페이로드를 해독하기 위해 암호 해독 키를 지정하는 명령줄 매개 변수를 사용해 실행되었으며, 이는 공격의 두 번째 단계로 작용했다. 또한 공격자는 libpcre, SQLite 및 SSL 스니퍼를 포함한 트로이 목마 오픈소스 애플리케이션도 사용했다.

페이로드 중 하나는 이전에 라자루스 공격과 관련된 HTTPS 백도어로, 미국 사이버보안국(CISA)의 이전 보고서에서 ‘블라인딩캔(BLINDINGCAN)’으로 명명되었다. 

드로퍼 중 하나는 “'A' 메디컬 오피스, PLLC”라는 미국 기업에 발급된 합법적인 인증서로 디지털 서명돼 있었던 것을 보아 과거 라자러스 캠페인에 사용된 것으로 보인다. 공격자는 데이터 탈취용 HTTPS 다운로더와 HTTP 업로더를 배포했으며 이 역시 트로이 목마화된 애플리케이션을 통해 전달됐다.
 

BYOVD(Bring-Your-Own-Vulnerable-Driver) 루트킷(rootkit)

또한 공격자는 FudModule이라는 루트킷 모듈을 배포했다. 이 모듈의 주요 프로세스는 보안 제품이 의존하는 다양한 시스템 모니터링 기능을 비활성화하는 것이다. 이를 위해 모듈은 DBUtil_2_3.sys라는 합법적인 디지털 서명 드라이버를 배포했다. 이 드라이버는 델이 개발했으며 여러 소프트웨어 응용 프로그램에서 사용된다. 작년에 델은 드라이버의 액세스 제어 취약성(CVE-2021-21551)을 완전히 패치하지 못하는 실수를 범해 불필요한 권한이 부여될 수 있는 허점을 제공했다. 

시스템에 이 취약한 드라이버가 없더라도 맬웨어는 C:\WINDOWS\System32\drivers\ 폴더에 circlassmgr.sys, dmvscmgr.sys, hidirmgr에서 임의로 선택한 이름으로 드라이버를 설치하려고 시도한다. 이 작업을 수행하려면 이미 공격자가 시스템에 대한 관리 권한을 가지고 있어야 한다. 따라서 드라이버는 권한 상승에 사용되는 것이 아니라 해당 기능을 악용하고 커널을 조작해 보안 솔루션의 탐지망을 벗어난다. 

ESET 연구원은 이 맬웨어의 구성 요소를 분석한 논문에서 "이런 공격을 성공적으로 완수하기 위해서는 믿기 힘들 정도로 정교한 노력과 시간이 든다. 적절히 취약한 드라이버를 선택하고 윈도우의 내부 정보를 파헤쳐야 한다. 커널의 기능이 잘 문서화되어 있지 않기 때문이다. 그들은 또한 대부분의 개발자들에게 생소한 코드 베이스로 작업해야 한다. 그리고 마지막으로 테스트를 거쳐야 한다. 처리되지 않은 오류는 BSOD(죽음의 블루스크린)의 마지막 단계이기 때문이다. 잘못되면 조사의 대상이 되거나 접근 권한을 완전히 상실할 수도 있다"라고 말했다.

이 모듈은 드라이버를 사용해 7가지 시스템 모니터링 기능을 비활성화한다. 일부 보안 연구원이나 치트키를 사용하는 게이머가 이런 공격 수법을 기록하거나 알린 적이 있지만 실제 해킹에 사용된 것은 처음이다. 이는 다른 악성 프로그램 개발자들에게 선례가 될 수 있다. 특히 이러한 커널 기능에 의존하는 보안 및 모니터링 솔루션을 모두 무력화할 수 있기 때문이다.

연구진은 "보안 팀은 먼저 초기 접근을 막는 것을 최우선 과제로 삼아야 한다. 해커가 시스템에 침투해 공격의 발판을 이미 마련한 후 실행할 맬웨어 도구를 차단하려면 싸움은 매우 어려워진다"라며 “수많은 사례에서 볼 수 있듯이 직원이 해커에게 속아 넘어가 초기 접근 권한을 내준 것이 대부분 공격의 단초가 됐다. 회사는 직원들에게 중요한 네트워크에서는 채용 검색 같은 개인적인 업무를 일절 하지 않도록 권고해야 한다”라고 조언했다. ciokr@idg.co.kr