MS 윈도우 환경 노린 전 세계 기업 대상 대규모 피싱 캠페인 발견

[아이티데일리] 마이크로소프트 윈도우(Microsoft Windows) 시스템을 사용하는 기업들을 겨냥한 대규모 피싱 캠페인이 발견됐다. 8월 초부터 공격 사례가 급증하고 있는 이 캠페인은 ‘업크립터(UpCrypter)’라는 맞춤형 로더를 활용해 여러 원격접근도구(RAT)를 배포하며, 공격자들이 피해 시스템을 완전히 장악할 수 있도록 설계됐다.

25일(현지시각) 포티넷 포티가드 랩스에 따르면, 해당 피싱 공격은 8월 초부터 전 세계 제조업, 기술, 의료, 건설, 소매 및 접객업 등을 표적으로 삼고 있다. 현재까지는 대부분의 감염이 오스트리아, 벨라루스, 캐나다, 이집트, 인도, 파키스탄 등지에서 확인되고 있다. 포티가드 랩스 측은 특히 탐지량이 불과 2주 만에 2배로 증가했다고 밝혀, 공격 규모가 빠르게 확산되고 있음을 알 수 있다.

공격자들은 가짜 음성메일이나 구매주문서를 위장한 정교한 피싱 이메일을 통해 공격을 시작한다. 이메일에는 HTML 파일이 첨부돼 있으며, 피해자가 링크를 클릭하면 개인화된 피싱 페이지로 리디렉션된다. 특히 이 피싱 페이지는 피해자의 이메일 도메인을 배너에 표시하고 해당 기업의 로고까지 삽입하는 등 고도화된 사회공학 기법을 사용한다.

피해자가 음성메시지나 PDF 문서를 다운로드하라는 유도 메시지를 따라 파일을 내려받으면, 난독화된 자바스크립트 파일이 포함된 압축파일(zip)을 받게 된다. 해당 스크립트는 인터넷 연결을 확인하고 포렌식 도구, 디버거, 샌드박스 환경을 탐지하며 분석을 방지한 후 외부 서버에 접속해 다음 단계의 악성코드를 가져온다.

이러한 업크립터는 자바스크립트 버전뿐만 아니라 MSIL(Microsoft Intermediate Language) 버전도 있는 것으로 확인됐다. 두 버전 모두 강력한 분석 방지 및 가상머신 탐지 기능을 갖추고 있다는 점에서는 동일하다. 분석 도구가 감지되면 시스템을 즉시 재시작해 조사를 중단시키는 것이 대표적이다. 최종 페이로드는 일반 텍스트 형태나 스테가노그래피 기법을 사용해 무해해 보이는 이미지 파일 내부에 숨겨진 형태로 전달된다.

이번 캠페인은 다양한 RAT를 배포한다는 점이 특징적이다. 연구진은 △‘퓨어HVNC RAT(PureHVNC RAT)’ △‘디크랫(DCRat; DarkCrystal RAT)’ △‘바빌론 RAT(Babylon RAT)’ 등의 RAT 도구를 확인했다. 이들 RAT는 키로깅, 파일 접근, 웹캠 및 마이크 활성화, 완전한 원격 제어 등 광범위한 악성 행위를 수행할 수 있다.

악성코드는 윈도우 레지스트리 수정을 통해 지속성을 확보하며, 파일시스템에 쓰기 작업 없이 메모리에서만 실행돼 포렌식 흔적을 최소화한다. 이는 전통적인 탐지 메커니즘을 우회하는 정교한 회피 기법이다.

한 국내 보안 기업 관계자는 “업크립터 피싱 캠페인은 네트워크 내부에 지속적인 악성 페이로드를 은밀히 설치하도록 설계된 완성형 공격 프로세스로 보인다. 피해자를 속이고 탐지를 회피하기 위해 대량의 불필요한 코드를 삽입한 것으로 파악되며, 포렌식 도구나 가상머신 환경을 탐지하면 시스템을 재시작하기까지 한다”고 설명하면서 “공격의 탐지 및 방지를 위해서는 이메일의 HTML 첨부파일을 열어 파워셸 사용으로 이어지는 일련의 이벤트를 찾는 것이 중요하다. 관리자를 제외하면 기업 내에서 파워셸에 접근이 필요한 사용자는 없을 것이기 때문”이라고 덧붙였다.