엘라스틱 시큐리티, 그래프 API 악용한 새로운 데이터 도용 멀웨어 경고

작성자 Keiminem쪽지보내기 자기소개 아이디로 검색 전체게시물
작성일 2025.02.18 11:41

조회 722

그래프 API를 악용해 마이크로소프트 아웃룩을 통신 채널로 사용하는 새로운 데이터 도용 멀웨어가 발견되면서 CISO의 걱정이 늘어났다. 해시된 암호의 우회 방법이 포함돼 있어서다.

CISO들은 그래프 API를 악용해 마이크로소프트 아웃룩을 통신 채널로 사용하는 데이터 도용 멀웨어의 새로운 계열이 발견되면서 해시된 암호를 우회하는 방법을 포함하고 있다는 사실에 대해 걱정해야 할 또 다른 공격 벡터가 생겼다.

엘라스틱 시큐리티의 연구원진은 남미 국가의 외무부를 표적으로 삼은 익명의 그룹이 이 멀웨어를 만들었다고 밝혔으나, 동남아시아의 한 대학과 통신 업체의 침해 사건과도 관련이 있다. 연구진은 보고서에서 “매우 잘 설계되고 유능하며 새로운 침입 세트가 특징”이라고 밝혔다.

남미 국가에 대한 캠페인은 2024년 11월에 시작되었을 수 있다. 그 무렵 엘라스틱 시큐리티SMS 그 나라 외무부 내에서 엔드포인트 행동 경보의 밀집된 클러스터를 감지했다. IT 시스템이 어떻게 처음에 손상되었는지는 분명하지 않지만, 일단 침입한 후에는 생활 밀착형 전술을 사용했다. 여기에는 인증서를 처리하는 윈도우 인증서 유틸리티 서트유틸(certutil)을 사용해 파일을 다운로드하는 것이 포함되었다.

보고서는 스파이 활동을 동기로 예측했고, 멀웨어의 윈도우 버전과 리눅스 버전이 존재한다고 주장했다. 그러나 다행히도 공격자 그룹은 “부실한 캠페인 관리와 일관성 없는 회피 전술”을 보였다.

주의 깊게 살펴본 징후

그럼에도 CISO가 이번 공격의 징후를 주의 깊게 살펴봐야 하는 이유가 있다. 공격 대상이 더 광범위해지고 공격 기술이 더 정교해질 수 있기 때문이다.

초기 침입 후, 공격 집단은 윈도우 원격 관리의 원격 셸 플러그인(WinrsHost.exe)을 사용해 파일을 다운로드했다. 이 파일에는 실행 파일, rar, ini, 로그 파일이 포함되어 있다. 실행 파일은 윈도우 서명 디버거인 CDB.exe의 이름이 바뀐 버전이다. 이 바이너리의 오용으로 인해 공격자는 신뢰할 수 있는 바이너리인 것처럼 가장해 config.ini 파일로 전달된 악성 셸코드를 실행할 수 있었다고 보고서는 밝히고 있다.

WRM의 셸 플러그인을 사용했다는 것은 공격자가 이미 유효한 네트워크 자격 증명을 보유하고 있었고, 이를 사용해 환경에서 이전에 손상된 호스트에서 측면 이동을 시도했다는 것을 의미한다. “이러한 자격 증명이 어떻게 획득되었는지는 알 수 없다.”

공격자가 유효한 자격 증명을 획득한 경우 측면 이동을 방지하는 것은 항상 까다롭다. SANS 연구소의 연구 책임자 요하네스 울리히는 이메일에서 다른 침해(자격 증명 스터핑)에서 비롯되었거나, 공격 초기에 배포되었지만 보고서에 포함되지 않은 키 입력 기록기 또는 정보 도용 프로그램에서 비롯됐을 가능성을 제기했다.

이 공격자가 사용하는 멀웨어의 주요 구성 요소는 로더와 백도어를 포함하며, 다음과 같다.

패스로더(Pathloader) : 원격 서버에 호스팅된 암호화된 셸코드를 다운로드하고 실행하는 경량의 윈도우 실행 파일이다. 이 파일은 대상 기업의 샌드박스에서 즉시 실행되지 않도록 하는 기술을 사용한다. 정적 분석을 차단하기 위해 API 해싱과 문자열 암호화를 수행한다.
파이널드래프트(FinalDraft) : 데이터 유출과 프로세스 인젝션에 중점을 둔 C++로 작성된 64비트 멀웨어. 여러 모듈을 포함하고 있으며, 이 모듈은 멀웨어에 의해 인젝션될 수 있다. 인젝션된 모듈의 출력은 C2(Command and Control) 서버로 전달된다. 무엇보다도, 컴퓨터 이름, 계정 사용자 이름, 내부 및 외부 IP 주소, 실행 중인 프로세스에 대한 세부 정보 등 손상된 서버나 PC에 대한 정보를 수집한다. 파이널드래프트에는 Mimikatz와 유사한 해시 전달 툴킷이 포함되어 도난당한 NTLM 해시를 처리할 수 있다.

공격 방법 하나는 마이크로소프트 그래프 API를 사용하는 아웃룩 메일 서비스를 이용하는 것이다. 이 API를 사용하면 개발자가 마이크로소프트 365를 포함한 마이크로소프트 클라우드 서비스에서 호스팅되는 리소스에 액세스할 수 있다. 이 API를 사용하려면 로그인 토큰이 필요하지만, 파이널드래프트 멀웨어는 그래프 API 토큰을 캡처할 수 있는 기능을 가지고 있다. 2024년 시만텍 보고서에 따르면, 갈수록 많은 위협 행위자가 그래프 API를 악용해 통신을 위장한다.

또한, 파이널드래프트는 윈도우 방화벽에 규칙을 추가한 후 TCP 리스너를 설치할 수 있다. 이 규칙은 서버가 종료될 때 제거된다. 또한, 파일을 삭제할 수 있으며, 삭제하기 전에 데이터를 0으로 덮어써서 IT 부서가 복구하지 못하도록 할 수 있다.

울리히는 LOLBins 기법을 최대한 활용하는 훌륭한 예시라며 공격 집단이 목표를 가장 효과적으로 공격하기 위해 준비한 것 같다고 말했다. 이런 공격은 방어하기가 어렵고, 실제 사용되는 도구와 공격 실행에 비해 준비 과정에서 더 잘 드러나는 경우가 많다.