상단여백
HOME 포커스 보안
암호화폐·거래소 노린 멀웨어 드로퍼 캐롯뱃(CARROTBAT) 공격 정황 발견기존 북핵 관련 멀웨어와 동일 인프라 구조, 다수 유사성 발견돼
[dource=pixabay]

[IT비즈뉴스 최태우 기자] 최근 동남아지역을 대상으로 암호화폐와 관련 거래소, 정치사건 등의 내용을 담은 멀웨어 드로퍼(dropper) ‘캐롯뱃(CARROTBAT)’의 공격 정황이 발견됐다.

캐롯뱃은 지난해 12월 처음 발견된 공격이다. 당초 영국 정부 기관을 노리고 SYSCON 멀웨어를 사용한 것으로 알려졌다. 

영국 고위 공무원들을 대상으로 ‘미, 북과 조건 없는 대화 원한다'는 제목의 이메을 통해 처음 배포된 SYSCON은 단순 원격 트로이목마(RAT) 일종으로 네트워크 통신에 FTP를 사용한다.  캐롯뱃 드로퍼가 영국 정부기관 공격에 사용되었던 증거가 발견되지는 않았다.

팔로알토네트웍스(Palo Alto Networks)의 위협 인텔리전스 연구소인 유닛42(Unit42)는 2개 멀웨어의 공격 인프라 구조가 유사한 것을 이유로 기타 연결 고리가 존재하는 것으로 분석했다.

캐롯뱃은 현재까지 총 29개의 고유 샘플이 식별된 상태다. 여기에는 확인된 총 12개의 고유 유인(decoy) 문서가 포함됐다. 이 샘플들은 올해 3월 처음 발견됐으며 대부분의 활동은 최근 3개월 내에 이뤄졌다.

이전에 SYSCON을 제공한 경우와 같이 페이로드가 다양하며, 새로운 인스턴스는 이전에 보고된 적이 있는 오션솔트(OceanSalt) 멀웨어 제품군을 제공하는 것으로 밝혀졌다. 

팔로알토네트웍스는 캐롯뱃과 관련 페이로드로 구성된 공격 캠페인을 ‘균열된 블록(Fractured Block)’이라고 명명했다. 현재까지 수집된 모든 캐롯뱃 샘플은 균열된 블록 캠페인 내에 포함됐다.

캐롯뱃은 공격자가 내장된 유인(decoy) 파일을 열고 타깃머신에서 페이로드를 다운로드 받아 실행시키는 명령을 내리는 드로퍼다. 현재까지 캐롯뱃에서 지원하는 디코이 문서 파일 형식은 11개다(.doc, .docx, .eml, .hwp, .jpg, .pdf, .png,.ppt, .pptx, .xls, xlsx). 

캐롯뱃(carrotbat) 유사공격 타임라인

디코이 문서를 열면 난독화된 명령이 실행되면서 마이크로소프트 윈도의 기본 제공 인증 유틸리티를 통해 원격 파일을 다운로드하고 실행한다.

한편 유닛42는 북한 관련 코니(KONNI) 멀웨어와 공통된 인프라를 사용하는 것으로 분석했다. 최근 4년간 사용된 RAT 멀웨어 코니는 다양한 기능을 보유하고 있으며 무료 웹 호스팅 공급업체의 인프라를 사용하고 있다. 

유닛42는 2개 멀웨어 모두 동남아지역을 타겟으로 SYSCON 멀웨어 제품군을 반복 사용한다는 점에서 유사성이 발견됐다고 덧붙였다.

최태우 기자  taewoo@itbiznews.com

<저작권자 © IT비즈뉴스-아이티비즈뉴스, 무단 전재 및 재배포 금지>

최태우 기자의 다른기사 보기
icon인기기사
여백
여백
Back to Top