국제 사법 기관 역할을 하고 있는 EU 법집행협력청(이하 '유로폴')이 최근 멀웨어 및 봇넷 인프라 확산을 막고 관련 활동 의혹이 있는 자들을 수배하기 위한 '엔드게임 작전(Operation Endgame)' 성과를 발표했다.
유로폴은 보도자료를 통해 해당 작전을 '랜섬웨어 확산을 주도하고 있는 봇넷에 대한 역대 최대 규모의 작전'이라고 자평했다. 프루프포인트 등 민간 기업들과의 협력을 토대로 IcedID, SystemBC, Pikabot, SmokeLoader, Bumblebee, Trickbot 등의 인프라 활동을 저지했다.
유로폴에 따르면, 멀웨어 확산 저지와 함께 국제적 공조를 통해 4명을 체포하고 10개 국에서 100여 개 서버와 2,000여 대 도메인을 압수했으며 불법 자산을 동결하는데 성공했다.
랜디 파그먼(Randy Pargman) 프루프포인트 위협 감지팀 디렉터(Director of Threat Detection)는 “프루프포인트 보안 위협 분야 연구진은 위협 행위자들이 서버를 설치할 때 보이는 일정한 패턴을 파악하고, 신규 멀웨어 인프라가 구축되는 시점에 선제적으로 감지해 내는 작업 등에 관한 봇넷 인프라 관련 전문 기술에 대해 자문했다. 특히 리버스 엔지니어링(reverse engineering) 멀웨어 전문 분야 관련하여 봇 클라이언트 설계 작성에 관해 심도 있고 정확한 양질의 정보를 제공하여 사법 당국의 안전 대책 수립을 지원했다.”고 밝혔다.
멀웨어 정보는 다음과 같다.
1. SmokeLoader
SmokeLoader는 2011년 새로 등장한 위협 행위자들이 많이 사용하는 다운로더다. 다양한 스틸러 및 원격 엑세스 기능이 탑재된 모듈러 멀웨어로서, 연계 페이로드(follow-on payloads) 설치가 주요 기능이다. 프루프포인트는 2015년 이후 수백여 캠페인에서 SmokeLoader를 감지해왔으며 2020년 한때 TA577 및 TA511를 포함하여 여러 주요 초기 액세스 브로커(IAB)가 지속 사용했다. 멀웨어는 워낙 수많은 경로(forums)를 통해 구매가 가능하기 때문에 SmokeLoader 캠페인이 파악된 위협 행위자들에 의해서만 이루어지는 것은 아니다. SmokeLoader 개발자는 러시아어 사용자에게만 판매·유포하고 있다고 주장한다.
프루프포인트는 올해에만 10여 종의 SmokeLoader 캠페인을 감지해냈다. 멀웨어로 인해 Rhadamanthys, Amadey 등 다양한 랜섬웨어가 설치되기에 이르렀다. 2023년~2024년 발생한 SmokeLoader 캠페인 다수는 UAC-0006이라고 알려진 위협 행위자가 우크라이나 기업을 타깃으로 한 '계정' 또는 '결제'와 관련된 피싱을 통해 진행한 것으로 나타났다.
2. SystemBC
SystemBC는 프루프포인트가 2019년 최초로 파악해 낸 SOCKS5를 이용한 프록시 멀웨어이자 백도어다. 당초 해커 공격 도구 세트(exploit kits)를 통해 전송되는 것으로 알려졌으나, 점차 서비스형 랜섬웨어(RaaS)에서 많이 사용되는 멀웨어가 되었다. 프루프포인트가 일반적으로 데이터 침투 이후에 사용되는 SystemBC를 이메일 공격 데이터에서 감지해 내는 사례는 드물다. 그런데도 불구하고 프루프포인트 연구진들이 Emotet 감염 이후 TA542 및 TA577과 TA544 캠페인에서 SystemBC가 사용된 것을 확인했다.
3. IcedID
IcedID는 프루프포인트가 2017년 처음 감지한 것으로, 초기에는 뱅킹 트로이 목마(banking trojan)로 분류된 바 있는 멀웨어이며 랜섬웨어 등 다른 멀웨어 로더(loader)로 사용되기도 했다. 특히 Loader C2 서버와 연결되는 초기 로더로 구성된 IcedID 버전이 잘 알려져 있는데, 표준 DLL 로더(DLL Loader)를 다운로드한 후 표준 IcedID 봇(IcedID Bot)을 전송한다.
2017년 이후 감지해 낸 IcedID 캠페인은 거의 1,000건에 육박한다. TA511, TA551, TA578은 물론 종종 TA577과 TA544 등을 포함한 IAB와 수많은 위협 행위자들이 이 멀웨어를 애용했다. TA542가 배포한 것으로 확인된 Emotet는 2022년 감지한 변종 멀웨어 'IcedID 라이트(IcedID Lite)'를 사용한 유일한 위협 행위자였다. IcedID는 랜섬웨어 입문 도구로 사용되는 경우가 많아 Egregor, Sodinokibi, Maze, Dragon Locker, Nokoyawa 등의 랜섬웨어로 연계되는 캠페인에서 1단계 페이로드로 사용된 것으로 나타났다.
프루프포인트 연구 결과, 2023년 11월 이후에는 아직 캠페인 데이터에서 IcedID가 발견되지 않고 있다. 당시에 연구진은 신종 Latrodectus 멀웨어를 이용한 캠페인을 다수 감지한 바 있다. IcedID 개발자들이 Latrodectus 멀웨어에도 관여했을 가능성이 농후하다.
IcedID가 첨단 사이버 공격으로 널리 퍼지면서 사이버 범죄 관련 위협적인 멀웨어가 되었다. 이에 따라 IcedID 방지(distuption)는 보안업계의 큰 반향을 불러올 수 있는 화두로 부상했다.
4. Pikabot
Pikabot은 로더 및 코어 모듈로 구성된 멀웨어로서, 임의 명령을 실행하고 페이로드를 추가적으로 로딩하도록 설계되어 있으며 연계 멀웨어를 다운로드하도록 하는 것을 주된 목표로 하고 있다. Pikabot은 2023년 3월 TA577 캠페인 데이터에서 처음 등장한 이래 TA577만이 거의 독점적으로 사용하고 있다. Pikabot은 유로폴이 2023년 8월 Qbot 소탕 계획을 발표한 이후 TA577이 자주 사용해 온 페이로드인데, 올해 3월 이후 이메일 캠페인 데이터에서는 Pikabot이 감지되지 않고 있다.
TA577은 가장 정교하고 치밀한 사이버 범죄 단체에 속한다. 이들이 가장 많이 쓰는 멀웨어 배포를 집중 차단하면 또 다른 전술을 개발해 재무장할 공산이 크다.
5. Bumblebee
는 2022년 3월 처음 감지된 고급 다운로더로서 여러 페이로드를 추가로 다운로드하여 실행하게 한다. 프루프포인트 연구진은 Cobalt Strike, shellcode, Sliver, Meterpreter 등 Bumblebee를 유포하는 페이로드를 감지한 후, Bumblebee 로더가 연계 랜섬웨어를 전송하는데 악용될 가능성이 매우 높다고 확신하게 되었다. IAB 등 수많은 위협 행위자들이 Bumblebee를 사용했기 때문에 처음 등장한 2022년 3월부터 종적을 감춘 2023년 10월까지 자주 사용되었으며, 올해 2월 다시 등장하기 시작했다.
프루프포인트가 지금까지 파악한 Bumblebee 캠페인은 200건을 웃돌고 있는데, 올해 들어 파악된 건수는 10건이 넘지 않는다. 프루프포인트 연구진은 2022년~2024년 기간 동안 미확인된 위협 클러스터는 물론 TA579, TA580, TA581, TA551 등의 사이버 범죄 위협 행위자들이 Bumblebee를 전송한 사례를 다수 감지하였다.
올 2월 이후에 접어들어 위협 행위자들의 캠페인을 보면 잠시 소강상태였던 이 멀웨어의 재등장이 감지된다. 이번 단속이 Bumblebee를 초기 액세스 페이로드로 사용한 사이버 범죄자들에게는 큰 타격이 되고 있다.
