사이버 보안 연구원들은 코발트 스트라이크(Cobalt Strike) 비콘이나 피해자의 화면을 캡쳐하기 위해 스트림앱 OBS 스튜디오를 이용하는 이전에 문서화되지 않은 파이썬 기반 백도어인 BIOPASS RAT를 배포하기 위해 중국 온라인 도박회사를 이용한 워터링 홀 공격을 통해 배포되는 새로운 멀웨어에 관해 경고하고 있다.

이 공격은 게임 웹사이트 방문자를 속여 어도비 플래시 플레이어 또는 마이크로소프트 실버라이트와 같이 예전에는 널리 사용됐지만 더 이상 사용되지 않는 앱의 합법적인 설치 프로그램으로 위장한 멀웨어 로더를 다운로드하도록 한다.

특히 웹사이트의 온라인 지원 채팅 페이지가 악성 자바스크립트 코드로 부비트랩되어 피해자에게 악성코드를 전달하는데 사용된다.

더해커뉴스에 따르면, 트렌드마이크로 연구원들은 지난 9일 발표한 분석에서 "BIOPASS RAT는 파일 시스템 확인, 원격 데스크톱 액세스, 파일 유출, 쉘 명령 실행과 같은 다른 멀웨어에서 발견되는 기본 기능을 가지고 있다. 또한 웹 브라우저와 인스턴트 메시징 클라이언트 데이터를 훔쳐 피해자의 개인 정보를 손상시킬 수 있는 기능이 있다"라고 설명했다.

OBS Studio는 비디오 녹화 및 라이브 스트리밍을 위한 오픈 소스 소프트웨어로 사용자가 트위치, 유튜브 및 기타 플랫폼으로 스트리밍할 수 있다.
 

BIOSPASS는 일반적인 스파이웨어 기능을 실행하는 다양한 기능을 제공하는 것 외에도 SOCKET..IO 프로토콜을 사용하여 C2(명령 및 제어) 서버와 통신하거나 RTMP(실시간 메시징 프로토콜)을 통해 공격자의 제어 하에 클라우드 서비스로 실시간 스트리밍을 설정할 수 있다.

현재 개발 중인 것으로 알려진 이 멀웨어는 QQ 브라우저, 2345 익스플로어, Sogou 익스플로어, 360 세이프 브라우저, 위챗, QQ 및 Aliwangwang을 비롯하여 중국 본토에서 주로 인기있는 웹 브라우저와 메신저 앱에서 개인 데이터를 훔치는 데 초점을 맞춘 것으로도 유명하다.

이 악성코드 변종의 배후에 있는 이가 누구인지 정확히 밝혀지지 않았지만 트렌드마이크로 연구원들은 BIOPASS와 사이버 스파이 공격에 특화된 중국 해킹 그룹인 Winnti Group(일명 APT41)과 관련된 TTP 사이에 이전에 위협 행위자가 사용한 코발트 스트라이크 바이너리 및 도난당한 인증서 사용면에서 중복되는 것을 발견했다고 밝혔다.

게다가 올해 초 동일한 코발트 스트라이크 바이너리가 몽골의 주요 인증 기관(CA)인 MonPass를 대상으로 하는 사이버 공격에 연결되어 설치되어 설치 소프웨어가 변조되어 감염된 시스템에 코발트 스트라이크 비콘 페이로드를 설치했다.

연구원들은 "BIOPASS RAT는 파이썬 스크립트로 구현되는 정교한 유형의 악성코드이다. 멀웨어 로더가 손상된 웹사이트에서 합법적인 업데이트 설치 프로그램으로 위장한 실행 파일로 전달 되었다는 점을 감안할 때 [...] 손상되지 않도록 신뢰할 수 있는 출처와 공식 웹사이트에서만 앱을 다운로드하는 것이 좋다."라고 말했다.

★정보보안 대표 미디어 데일리시큐!★