파이어아이, 미국 및 국내 항공, 국방 및 제조 분야 공격하는 폼북 멀웨어 발견

지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.kr)가 미국 및 국내 항공, 국방, 제조 분야를 공격하는 폼북(FormBook) 멀웨어를 발견했다. 공격자들은 다운로드 링크가 걸린 PDF 문서, 악성 매크로가 포함된 DOC 및 XLS 파일, 악성 실행 파일을 포함한 압축 파일 등을 통해 폼북 멀웨어를 확산시켰다.

이번에 발견 된 폼북 멀웨어는 다양한 프로세스에 침투되어 키스트로크 로깅을 위해 펑션 후크(function hook)를 설치하고 클립보드 콘텐츠를 탈취하며 HTTP 세션에서 데이터를 추출했다. 또한, 해당 멀웨어는 C2 서버에서 커맨드를 실행할 수 있는데, 커맨드를 통해 파일을 다운로드 및 실행하고, 시스템을 셧다운 하거나 리부트 그리고 패스워드 및 쿠키 정보를 탈취했다.

폼북은 데이터 탈취형 멀웨어지만, 완전한 뱅킹 멀웨어는 아니다. 확장 가능한 프로그램이나 플러그인은 없다. 감염 가능한 부분은 다음과 같다.

  • 키 로깅
  • 클립보드 모니터링
  • HTTP/HTTPS/SPDY/HTTP2 폼과 네트워크 요청 확보
  • 브라우저와 이메일 클라이언트의 패스워드 확보
  • 스크린샷

또한, 폼북은 C2 서버에서 다음과 리모트 커맨드를 받을 수 있다.

  • 호스트 시스템상의 봇 업데이트
  • 파일 다운로드 및 실행
  • 호스트 시스템에서 봇 제거
  • ShellExecute 를 통한 커맨드 입력
  • 브라우저 쿠기 삭제
  • 시스템 리부트
  • 시스템 셧다운
  • 패스워드 수집 및 스크린샷 생성
  • ZIP 파일 다운로드 및 압축 해제

폼북은 PDF, DOC, 다운로드 가능한 링크, 매크로 혹은 실행 가능한 페이로드가 첨부된 압축 파일과 같이 다양한 형태의 파일을 통해 배포됐다. 파이어아이가 탐지한 PDF버전의 새로운 폼북 공격은 FedEx나 DHL의 배송 양식을 띄었으며, 가짜 배달 알림을 사용했다.

그림1. DHL 배송 양식을 활용한 폼북 공격_1

그림1. DHL 배송 양식을 활용한 폼북 공격_2

또 다른 공격 유형인 압축 파일형 폼북 멀웨어는 ZIP, RAR, ACE, and ISO 등을 포함한 다양한 형태의 포맷으로 배포됐다. 가장 많이 사용 된 방식으로, 특히 주문 및 결제 등에서 많이 발견됐다.

또한, 파이어아이는 지난 5주 동안 폼북이 나노코어(NanoCore)와 같은 다른 악성 소프트웨어와 함께 다운로드 된 사실을 발견했다. 폼북 감염으로 얻어진 데이터와 인증서 등은 신분 도난, 피싱, 뱅킹 관련 사기, 인출 같이 추가적인 사이버 범죄로 악용될 수 있다는 점에서 주의가 필요하다.

파이어아이 전수홍 지사장은 “폼북의 기능 및 공격 원리는 그다지 특별하지 않다. 하지만 비교적쉬운 사용법과 낮은 가격으로 다양한 사이버 범죄자들에게 매력적인 공격 수단이 되고 있다.”고 말했다.

 

###

자료 문의

파이어아이 코리아        고혜민 과장 / 02-2092-6563 / heather.koh@fireeye.com

M&K PR                  오주연 과장/ 010-9261-8645 / fireeye@mnkpr.com