안녕하세요! 성신여대 정보보안 동아리 ConSeQ입니다!
이번 카드뉴스로는 구글 광고 플랫폼을 악용하는 공격자들이 롭샷이라는 새 멀웨어를 들고 나타났다는 최근 이슈를 다루는 내용을 담았습니다. 함께 알아보러 가볼까요?
롭샷이란?
IT 업체 엘라스틱소프트웨어(Elastic Software)에 의하면 이 멀웨어의 이름은 롭샷(LOBSHOT)이라고 하며, 주로 악성 구글 광고를 통해 유포되는 중이라고 합니다. “공격자들은 애니데스크(AnyDesk) 등 원격 근무 체제에서 즐겨 사용되는 애플리케이션들의 광고인 것처럼 자신들의 광고를 만들어 피해자들을 유혹했습니다.” 광고를 클릭할 경우 피해자들은 재택 근무자들을 위한 소프트웨어가 호스팅 되어 있는 것처럼 꾸며진 사이트로 접속되며, 여기서 설치파일로 보이는 것을 다운로드 받게 됩니다. “그러나 그 설치파일은 공격자들을 위한 백도어인 롭샷이죠. 보다 정확히 말하면 실제 설치파일에 롭샷 백도어가 삽입된 것입니다.” 엘라스틱소프트웨어의 분석가 다니엘 스테파닉(Daniel Stepanic)의 설명입니다.
롭샷의 배후
롭샷의 배후에는 악명 높은 공격 단체인 TA505가 있는 것으로 추정되고 있습니다. TA505는 클롭(Clop) 랜섬웨어를 퍼트린 것으로 잘 알려진 단체입니다. 이번 공격에 사용된 웹사이트 중 하나는 download-cdn.com으로, 이전부터 TA505와 관련이 깊은 사이트입니다. 드리덱스(Dridex), 록키(Locky), 네커스(Necurs) 등의 멀웨어도 여기서 유포된 전적을 가지고 있습니다. 이 때문에 엘라스틱소프트웨어는 롭샷이 TA505의 새로운 멀웨어인 것으로 추정하고 있습니다.
구글 광고의 악용
1. 지난 1월에도 라다만티스 스틸러(Rhadamanthys Stealer)라는 멀웨어가 구글 광고 플랫폼을 통해 유포된 적이 있습니다. 이 때도 공격자들은 애니데스크와 줌을 다운로드 받을 수 있다는 식으로 광고를 올려 피해자들을 현혹시켰습니다. 그 외에도 구글 애즈 플랫폼을 악용하는 멀버타이징 캠페인이 크게 증가했고, 지금도 그 흐름이 이어지고 있다는 게 엘라스틱소프트웨어의 설명입니다.
2. “현재 보안 커뮤니티 곳곳에서 구글 광고 플랫폼을 통해 행해지는 여러 공격 사례가 보고되고 있는데, 그 방법들이 대동소이합니다.” 스테파닉의 설명입니다. “정상 소프트웨어를 정상 광고 플랫폼에서 광고한다는 그 간단한 사실이 피해자들을 효과적으로 속이는 듯합니다. 공격자들이 큰 전략 수정 없이 이 공격을 계속해서 진행하는 것만 봐도 알 수 있죠.”
롭샷에 감염되기까지 공격 시나리오
1단계: 피해자가 인터넷 검색으로 정상 소프트웨어를 찾는다.
2단계: 해당 소프트웨어를 다운로드 받을 수 있는 광고가 뜬다.
3단계: 클릭하면 공격자들이 미리 만들어 둔 사이트로 연결된다.
4단계: 예를 들어 실제 애니데스크 URL은 www.anydesk.com인데, 가짜 URL은 amydecke.com이다.
5단계: 설치파일이 다운로드 된다. 하지만 이 파일 안에는 악성 페이로드가 숨겨져 있어 같이 설치된다.
롭샷 막는 방법
롭샷의 중요한 특징 중 하나는 hVNC라는 요소를 가지고 있다는 것입니다. hVNC는 ‘숨겨진 가상 네트워크 컴퓨팅(hidden Virtual Network Computing)’의 준말로, 일종의 모듈이며, 특정 기계에 직접적으로, 그러나 눈에 띄지 않게 접근할 수 있도록 해줍니다. 공격자들은 이 hVNC를 탐지 회피를 목적으로 주로 활용합니다. 현재, 엘라스틱소프트웨어 깃허브에 롭샷 감염에 대비한 방어 전략을 여러 개 올려두어 피해를 줄이고자 하고 있습니다. 방어에 참고할 만한 페이지 주소는 다음과 같습니다.
GitHub - elastic/protections-artifacts: Elastic Security detection content for Endpoint
Elastic Security detection content for Endpoint. Contribute to elastic/protections-artifacts development by creating an account on GitHub.
github.com
GitHub - elastic/protections-artifacts: Elastic Security detection content for Endpoint
Elastic Security detection content for Endpoint. Contribute to elastic/protections-artifacts development by creating an account on GitHub.
github.com
3) https://github.com/elastic/protections-artifacts/blob/main/yara/rules/Windows_Trojan_Lobshot.yar
GitHub - elastic/protections-artifacts: Elastic Security detection content for Endpoint
Elastic Security detection content for Endpoint. Contribute to elastic/protections-artifacts development by creating an account on GitHub.
github.com
감사합니다!