MeowMeow Backdoor

사이버 보안 연구원들이 우크라이나 기관들을 대상으로 한 사이버 공격에 사용된, 이전에 보고된 적 없는 악성코드 계열인 '미오미오(MeowMeow)'를 발견했습니다. 이번 공격은 체계적인 감염 경로와 시스템을 침해하고 지속성을 유지하기 위한 다층적인 기만 기법을 사용한 것으로 나타났습니다.

여러 지표를 종합해 볼 때, 이번 공격은 러시아 정부의 지원을 받는 위협 행위자 그룹인 APT28의 소행으로 추정되며, 그 신뢰도는 중간 정도입니다. 이러한 평가는 공격 대상 패턴, 유인물에 담긴 지정학적 주제, 그리고 과거 러시아의 사이버 작전과의 기술적 유사성을 바탕으로 합니다.

피싱 진입점 및 초기 추적 메커니즘

공격 과정은 신뢰할 만해 보이도록 정교하게 제작된 피싱 이메일로 시작됩니다. 해당 메시지는 ukr.net과 연관된 주소에서 발송되는데, 이는 우크라이나 수신자들의 신뢰를 높이기 위한 전략으로 보입니다.

이메일에는 ZIP 압축 파일로 연결되는 링크가 포함되어 있습니다. 피해자가 이 링크를 클릭하면 브라우저는 즉시 파일을 다운로드하지 않습니다. 대신, 공격자에게 링크가 열렸다는 신호를 보내는 추적 픽셀 역할을 하는 아주 작은 이미지를 로드합니다. 이 확인 단계를 거치면 피해자는 다른 URL로 리디렉션되고, 그곳에서 악성 ZIP 압축 파일이 최종적으로 다운로드됩니다.

가짜 정부 문서를 이용한 기만

압축 파일이 압축 해제되면 감염 과정은 HTML 애플리케이션(HTA) 파일을 실행합니다. HTA는 동시에 두 가지 작업을 수행합니다.

• 국경 통과 항소와 관련된 우크라이나어로 작성된 유인 문서를 보여줍니다.
• 백그라운드에서 추가적인 악성 프로세스를 실행합니다.

이 문서는 국경 통과 절차와 관련된 정부 이의 신청 접수 확인서처럼 보이도록 위장하여 사회 공학적 기법으로 작용합니다. 정교하게 구성된 이 문서는 악의적인 행위가 은밀하게 진행되는 동안 정당성이라는 착각을 불러일으킵니다.

샌드박스 회피 및 시스템 검증

감염 과정을 진행하기 전에 악성 프로그램은 통제된 분석 환경에서 실행되고 있는지 확인하는 검사를 수행합니다.

HTA(하드웨어 탐지 및 분석)는 Windows 레지스트리 키 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate를 조회하여 운영 체제가 설치된 기간을 추정합니다. 시스템 설치 기간이 10일 미만인 경우(샌드박스 환경에서 흔히 나타나는 현상), 악성 프로그램은 실행을 종료합니다. 이 단계를 통해 공격자는 자동화된 악성 프로그램 분석 시스템에 탐지되지 않도록 할 수 있습니다.

페이로드 배포 및 지속성 메커니즘

시스템이 환경 검사를 통과하면 악성 프로그램은 다운로드한 ZIP 압축 파일에서 추가 구성 요소를 추출합니다. 추출된 파일은 VBScript 파일과 숨겨진 코드가 포함된 PNG 이미지 파일 두 개입니다. 이 파일들은 새로운 파일 이름으로 디스크에 저장됩니다.

지속적인 공격은 VBScript를 자동으로 실행하는 예약 작업을 생성함으로써 이루어집니다. 이 스크립트의 주요 목적은 PNG 파일 내에 숨겨진 악성 코드를 추출하는 것입니다. 추출된 악성 코드는 BadPaw라는 난독화된 .NET 로더이며, 이를 통해 원격 명령 및 제어 서버와 통신이 시작됩니다.

BadPaw Loader와 MeowMeow Backdoor

BadPaw 로더는 추가 악성코드 모듈을 다운로드하는 중간 구성 요소 역할을 합니다. 주요 목적은 MeowMeow라는 백도어 실행 파일을 다운로드하여 배포하는 것입니다.

MeowMeow 애플리케이션은 그래픽 인터페이스 내에 특이한 주의 분산 기능을 포함하고 있습니다. 보이는 'MeowMeow' 버튼을 클릭하면 프로그램은 단순히 'Meow Meow Meow'라는 메시지만 표시할 뿐, 악의적인 활동은 전혀 수행하지 않습니다. 이러한 동작은 수동 검사 시 분석가를 오도하기 위한 일종의 미끼 역할을 합니다.

실제 악성 기능은 특정 조건에서만 실행됩니다. 실행 파일은 감염 과정에서 제공되는 특정 매개변수(-v)와 함께 실행되어야 하며, 분석 환경이 아닌 실제 엔드포인트에서 실행 중임을 확인해야 합니다.

분석 방지 보호 및 운영 기능

악성 프로그램은 백도어 기능을 활성화하기 전에 보안 또는 포렌식 모니터링 도구가 실행 중인지 확인합니다. Wireshark, Procmon, Ollydbg 또는 Fiddler와 같은 애플리케이션이 감지되면 실행이 중단되어 분석 작업이 더욱 어려워집니다.

MeowMeow 백도어가 활성화되면 공격자는 다음과 같은 여러 기능을 사용할 수 있습니다.

• 침해당한 호스트에서 PowerShell 명령의 원격 실행
• 파일 시스템 조작(파일 읽기, 쓰기 및 삭제 포함)

이러한 기능은 공격자가 데이터 수집, 측면 이동 또는 추가 페이로드 배포와 같은 후속 작업을 수행할 수 있도록 합니다.

악성코드에서 발견된 러시아어 흔적

조사 과정에서 연구원들은 악성코드 소스 코드 내에 러시아어 문자열이 포함되어 있는 것을 발견했으며, 이는 러시아어를 사용하는 공격자가 이 악성코드를 공격했을 가능성을 더욱 높여줍니다.

이러한 흔적의 존재는 두 가지 가능성을 시사합니다. 공격자가 우크라이나 환경에 맞게 코드를 현지화하지 않아 운영상의 보안 허점을 범했을 수 있습니다. 또는 이러한 문자열은 악성코드 제작 과정에서 의도치 않게 남겨진 개발 흔적일 수도 있습니다.

원인이 무엇이든 간에, 이러한 언어적 지표들은 해당 캠페인이 러시아의 사이버 작전과 연관되어 있다는 더 광범위한 원인 규명에 기여합니다.