러 해커들, DDoS, ‘와인파티’ 피싱 폭증에 ‘지구촌 비상’

[애플경제 전윤미 기자] 지난 3월 이후 전세계적으로 러시아 해커들이 DDoS 공격이나 이메일 피싱을 집중적으로 퍼부으면서 지구촌이 긴장하고 있다. 이들의 무차별적인 DDoS 공격이 폭증한 가운데, 각국 외교관들을 대상으로 이메일 피싱도 폭주하며, 전 세계가 사이버공격에 시달리고 있다.

특히 IoT 기반의 제조업체들은 수 년 간 제대로 패치도 하지 않은채 취약점을 노출, DDoS 공격의 먹잇감이 되는 경우가 최근 부쩍 늘어나고 있다. 전세계적으로 보면, 비용 절감을 위해 특별히 제작된 패치되지 않았거나 보안이 취약한 기기를 방치하다보니, 3월 한 달 동안만 27,000건 이상의 봇넷 기반 DDoS 공격을 당했다. 사이버보안 솔루션 업체인 넷스카웃(NetScout)에 따르면 특히 각국의 IoT 기반의 서비스 제공업체들은 평균 2분마다 한 건의 공격을 받았다.

세계 도처에서 하루 평균 800~1600건 빈발

평균적으로 하루에 약 880건의 DDoS 공격이 확인되었으며, 지난 3월 10일에는 1,600건 이상의 공격으로 최고조에 달했다. 평균 공격 지속 시간은 약 18분 24초로, 한 달 전인 2월보다 약간 길었다. 또한 그간 전 세계 DDoS 공격 평균인 5~15분보다 훨씬 길어, 이들의 공격이 매우 집요하고 그악스러움을 보여주었다.

특히 러시안 해커들인 ‘NoName057(16)’이 대표적이다. 이들은 3월 한 달 동안에만 무려 475건 이상의 공격을 감행했다. 이는 다른 어떤 사이버그룹보다 월등히 많은 수치다. 이들은 특히 각국 정부나, 인프라, 기업을 표적으로 한, 정치적 동기의 DDoS 공격을 감행하고 있다.

앞서 넷스카웃은 “이들이 감행한, 각종 인프라와 관련된 26,000건 이상의 공격 양상을 파악해냈다”며 “이는 공격 벡터 조합이나, 대상, 그리고 공격 시점의 다양성을 보여준다”고 밝혔다. 이에 따르면 모두 500개 이상의 IP 주소와 575개 이상의 도메인이 이들의 공격 대상이 되었다. 이는 정확히 전모가 밝혀지지 않은채 3월 한 달 내내 지속적인 공격이 자행되었음을 보여준다.

TCP 포트 조합이나 UDP 악용도 주요 수법

이들이 동원하는 수법 중 가장 흔한 것은 디바이스에서 웹 서버로 데이터를 전송하는 네트워크 프로토콜인 TCP 포트 조합이다. 또 패킷을 전송하는 무연결 통신 프로토콜인 UDP도 많이 악용되었다. 즉 “암호화 및 웹 기반 서비스에 공격이 집중되고 있다”는 분석이다.

그 중에서도 가장 흔한 공격 벡터는 TCP SYN 플러드로서, 3월에만 전체 DDoS 공격의 5분의 1을 차지했다. 대부분은 TCP SYN + DNS 플러딩이나, TCP ACK + TCP SYN 등의 조합을 포함한 다중 벡터 공격 형태를 띠었다.

이런 공격은 특히 IoT나 라우터 감염이 많았으며, 독일과 미국 등에서 가장 많이 이뤄졌다. 해커들은 이런 공격 조합을 통해 클라우드 호스팅 리소스나 기업용 기기와 같은 안정적인 인프라를 악용하고 있다. 또한 세계 각지에서 보안이 취약한 네트워크를 지속적으로 악용하는 사례가 속속 발견되고 있다. 특히 넷스카웃은 “악용된 취약점의 상당수는 오래 방치된채 문서화가 잘 된 경우가 많다”면서 사례를 들었다. 이에 따르면 인프라를 표적으로 한 봇 클러스터에서 자주 발견되는 CVE-2017-16894, CVE-2019-17050, CVE-2021-41714가 대표적이다. 특히 CVE-2021-27162와 관련 익스플로잇은 수천 건의 공격 사례에서 발견되고 있어 특별히 유의할 필요가 있다는 지적이다.

이에 보안전문가들은 “단순히 트래픽을 차단하는데 그쳐선 안 된다”며 “트래픽이 어디에서 유입되고, 왜 발생하며, 어떤 형태로 확산될 수 있는지 파악하는 것이 중요하다. 3월의 사례는 DDoS 공격이 점점 더 정교해지고 의도적으로 진행되고 있음을 보여준다.”고 주의를 당부했다.

가짜 ‘와인 초대장’…심하게 난독화된 DLL 악용

이들 러시아 해커들은 또 이른바 ‘와인 파티 초대’를 가장한 피싱으로 각국 외교관들을 유인하고 있다. 악명 높은 미드나잇 블리자드(Midnight Blizzard) 조직이 대표적이다. 보안업체 체크포인트(Check Point) 분석에 따르면, ‘미드나잇 블리자드’는 최근 몇 달 동안 공격 수법을 다양화하고 있으며, 이런 ‘품격있는’ 초대장을 미끼로 특히 유럽에 상주하는 각국 외교관들을 노리고 있다.

체크포인트는 별도의 블로그 게시물에서 “‘미드나잇 블리자드’는 올해 1월부터 유럽 각국 정부와 외교관들을 표적으로 삼아 왔다”면서 “특히 유럽 특정국가의 외무부를 사칭해 ‘와인 시음 행사 초대’ 피싱 이메일을 발송하고 있다”고 밝혔다.

블로그 게시물에 따르면 이들의 악성 이메일엔 ‘GRAPELOADER’라는 백도어를 배포하는 링크가 포함되어 있다. 경우에 따라선 아카이브 다운로드로 바로 이어졌고, 이를 통해 ‘GRAPELOADER’를 배포하도록 했다. 또 다른 경우에는 피싱 이메일의 링크에서 그 이름을 사칭한 국가의 외교부 공식 웹사이트로 리디렉션되기도 한다.

문제의 악성 이메일은 ‘bakenhof[.]com’과 ‘silry[.]com’이라는 두 개의 도메인에서 발송되었다. 가짜 외교부 소속 특정 인물의 합법적인 통신 내용을 모방한 것이다. 만약 악성 링크를 클릭하면 ‘wine.zip’이라는 아카이브가 다운로드되고, 다음 단계의 공격으로 이어진다.

특히 여러 프로그램용 동적 라이브러리인 ‘DLL’ 사이드 로딩을 유도하기 위해 합법적인 파워포인트 실행을 위한 파일 ‘wine.exe’를 포함하고 있어 주의가 요망된다. 숨겨진 DLL인 ‘AppvIsvSubsystems64.dll’은 파워포인트 실행 파일 실행에 필요한 필수적인 역할을 한다.

또 다른 ‘심하게 난독화된채 드러나지 않는’ DLL인 ‘ppcore.dll’은 로더 역할을 한다. 공격 후반 단계에선 페이로드를 전달하는 데 사용된다.

이런 방식으로 ‘wine.exe’가 실행되고 ‘GRAPELOADER DLL’이 로딩되면, 마침내 맬웨어가 ‘wine.zip’ 아카이브의 내용을 피해자의 디바이스 디스크의 새 위치로 복사된다. 그런 다음 윈도우레지스트리의 실행 키를 수정해 지속성(장악력)을 확보하고, 시스템이 재부팅될 때마다 ‘wine.exe’가 자동으로 실행되도록 하는 방식이다.

그렇게 심어진 악성코드 ‘GRAPELOADER’는 호스트 이름이나 사용자 정보 등 기본 정보를 광범위하게 수집한다. 수집된 데이터는 명령 및 제어(C2) 서버로 전송되어 다음 단계의 셸코드가 전달될 때까지 기다린다.

초대로 위장, 특화 설계된 ‘WINELOADER’, ‘GRAPELOADER’

‘미드나잇 블리자드’는 이미 이와 유사한 사이버공격을 감행한 바 있다. 작년에도‘WINELOADER’라는 악성코드를 사용, 독일의 유력한 정치인들을 대상으로 가짜 만찬 초대장을 발송했다. ‘체크포인트’는 블로그에서 “이번의 공격 역시 이전에 발생한 일련의 공격의 연장선”이라고 밝혔다. 이번의 경우, ‘GRAPELOADER’는 공격 초기부터 특화되어 설계된 것으로 파악된다. 해당 악성코드는 주로 감염된 환경의 지문을 분석하고, 지속성을 확보하며, 다음 단계 페이로드를 검색하는 데 사용된다. 이들 두 가지 악성코드는 특히 코드 구조, 난독화 기법, 문자열 복호화 처리 방식 등에서 여러 유사점을 공유하고 있는 것으로 분석되었다.

특히 이번 공격엔 ‘GRAPELOADER’ 뿐만 아니라, 종전 ‘WINELOADER’의 새로운 변종도 포함되어 있는 것으로 밝혀졌다. 이는 코드베이스를 중복하거나, 공유 개발 한것으로 추정된다. 이 새로운 변종은 은밀성과 회피 기술을 한층 강화함으로써 보안 전문가들이 탐지 노력을 교란시킬 것이란 경고다.

코지 베어(Cozy Bear)로도 알려진 미드나잇 블리자드는 전 세계적으로 가장 활발하고 공격적인 위협 그룹 중 하나다. 러시아 정부와 연계되어 있는 이 그룹은 최근 몇 년 동안 마이크로소프트를 대상으로 한 공격을 비롯, 지구촌의 수많은 해킹 사건의 주범으로 지목되었다.

이번 공격에서도 이들은 이른바 ‘비밀번호 스프레이’ 기법을 사용, 기존 계정을 침해한 것으로 알려졌다. 이는 가장 흔하게 쓰이는 비밀번호를 수많은 계정에 무차별적으로 대입하는 방식이다. 이에 마이크로소프트는 “이 그룹은 이런 방식으로 기업 이메일 계정 중에서도 가장 민감한 ‘극소수’ 대상에 접근할 수 있었다”며 “그 중엔 마이크로소프트의 고위 경영진과 보안 및 법무팀 직원들도 포함되어 있었다”고 밝혔다.