해커들이 링크드인 사설 메시지를 이용해 DLL 사이드로딩 기법으로 원격 액세스 트로이목마를 유포해 기업 네트워크에 침투할 위험이 커지고 있다.

 

미국 보안 매체 해커 뉴스(The Hacker News)에 따르면 사이버보안 연구원들은 소셜 미디어 비공개 메시지를 악용해 악성 페이로드를 전파하는 새로운 피싱 캠페인을 포착했다. 이 캠페인은 원격 액세스 트로이목마(RAT)를 배포하는 것을 목적으로 하는 것으로 보인다고 밝혔다.

 

보안업체 레리아퀘스트(ReliaQuest)는 해커 뉴스에 공유한 보고서에서 이 활동이 "합법적인 오픈소스 파이썬 침투 테스트 스크립트와 결합된 DLL(다이내믹 링크 라이브러리) 사이드로딩을 통해 무기화된 파일을 전달한다"고 설명했다.

 

 

이번 공격은 링크드인(LinkedIn)에서 고가치 표적 인물에게 메시지를 보내 접근한 뒤 신뢰를 쌓고, 악성 윈RAR(WinRAR) 자가 추출 아카이브(SFX)를 다운로드하도록 속이는 방식으로 진행된다. 사용자가 이 파일을 실행하면 아카이브는 네 가지 구성 요소를 추출한다.

 

레리아퀘스트에 따르면 아카이브에는 합법적인 오픈소스 PDF 리더 애플리케이션, PDF 리더에 의해 사이드로딩되는 악성 DLL, 파이썬 인터프리터의 포터블 실행 파일(PE), 미끼 역할을 하는 것으로 보이는 RAR 파일이 포함된다.

 

감염 체인은 사용자가 PDF 리더 애플리케이션을 실행할 때 활성화되며, 이 과정에서 악성 DLL이 사이드로딩된다. DLL 사이드로딩은 공격자가 합법적인 프로세스를 악용해 탐지를 회피하고 악성 활동의 흔적을 숨기기 위해 점점 더 많이 사용하는 기법이다.

 

최근 1주일 동안 LOTUSLITE, PDFSIDER로 추적되는 악성코드 패밀리와 기타 범용 트로이목마, 정보 탈취 악성코드를 전달하기 위해 DLL 사이드로딩을 활용한 최소 세 건의 공격 캠페인이 문서화됐다.

 

레리아퀘스트가 관찰한 이번 캠페인에서는 사이드로딩된 DLL이 시스템에 파이썬 인터프리터를 드롭하고, 매 로그인 시 파이썬 인터프리터가 자동 실행되도록 윈도 레지스트리 Run 키를 생성하는 역할을 한다. 이 인터프리터의 주된 기능은 디스크에 포렌식 아티팩트를 남기지 않기 위해 메모리에서 직접 실행되는 베이스64 인코딩된 오픈소스 셸코드를 실행하는 것이다.

 

최종 페이로드는 외부 서버와 통신을 시도해 공격자에게 감염된 호스트에 대한 지속적인 원격 접근 권한을 부여하고, 관심 있는 데이터를 유출한다.

 

해커 뉴스에 따르면 합법적인 오픈소스 도구 남용과 소셜 미디어 플랫폼을 통한 피싱 메시지 사용이 결합되면서, 피싱 공격이 이메일에만 국한되지 않으며 다른 전달 경로가 보안 공백을 악용해 성공 가능성을 높이고 기업 환경에 침투할 수 있음을 보여주고 있다.

 

레리아퀘스트는 이번 캠페인이 다양한 업종과 지역에 걸쳐 활동이 나타난, 폭넓고 기회주의적인 성격을 띠는 것으로 보인다고 밝혔다. 레리아퀘스트는 "이 활동은 다이렉트 메시지에서 전개되고, 소셜 미디어 플랫폼은 일반적으로 이메일보다 모니터링이 덜 되기 때문에 전체 규모를 정량화하기 어렵다"고 덧붙였다.

 

이 회사는 "이러한 접근법은 공격자가 최소한의 노력으로 탐지를 우회하고 작전을 확장하면서도, 침해된 시스템에 대한 지속적인 통제를 유지할 수 있게 한다"며 "일단 내부로 진입하면 권한을 상승시키고, 네트워크를 가로질러 수평 이동하며, 데이터를 유출할 수 있다"고 설명했다.

 

링크드인이 표적 공격에 악용된 것은 이번이 처음이 아니다. 최근 몇 년간 크립토코어(CryptoCore), 콘테이저스 인터뷰(Contagious Interview) 캠페인과 연계된 위협 세력을 포함한 다수의 북한 관련 위협 행위자가 구직 제안을 미끼로 링크드인에서 피해자에게 접촉해, 평가나 코드 리뷰를 가장해 악성 프로젝트를 실행하도록 설득한 사례가 있었다.

 

또 지난해 3월, 보안업체 코펜스(Cofense)는 링크드인 인메일(InMail) 알림을 사칭한 피싱 캠페인을 공개했다. 이 캠페인은 수신자가 "Read More" 또는 "Reply To" 버튼을 클릭하도록 유도해, 피해자 호스트를 완전히 제어할 수 있는 커넥트와이즈(ConnectWise) 원격 데스크톱 소프트웨어를 다운로드하게 하는 수법을 사용했다.

 

레리아퀘스트는 "기업들이 일반적으로 사용하는 소셜 미디어 플랫폼은 대부분 조직의 보안 태세에서 공백을 이룬다"며 "이메일에는 보안 모니터링 도구가 배치되는 경우가 많지만, 소셜 미디어 비공개 메시지는 가시성과 보안 통제가 부족해 피싱 캠페인에 매력적인 전달 채널이 된다"고 지적했다.

 

레리아퀘스트는 이어 "조직은 소셜 미디어를 초기 접근을 위한 중요 공격 표면으로 인식하고, 이메일 중심의 통제를 넘어 방어 범위를 확대해야 한다"고 강조했다.

 

헬로티 |