최근 multi-compression 기술을 사용하고 이미지 파일로 마스킹하여 BazarBackdoor 악성코드가 유포되는 정황이 발견되었습니다. Multi-compression 압축 기술은 새로운 기술은 아니지만 이메일 보안 장비로 하여금 악성 첨부 파일을 문제가 없는 파일로 잘못 분류하도록 유도할 수 있기 때문에 최근 인기를 얻고 있습니다.

Cofense 연구원들은 이 방법이 압축된 파일의 확인하는데 한계가 있기 때문에 Secure Email Gateways(SEGs)를 우회할 수 있다고 말합니다.

BazarBackdoor는 아래 [그림 1]과 같이 6월 5일 공식적으로 기념되는 “환경의 날”을 테마로 기업 수상자들을 대상으로 유포되었습니다.

[그림 1] 이메일에 첨부되어 유포되는 BazarBackdoor(출처: BleepingComputer)

[그림 1]에서 multi-compression 기술을 사용한 Zip 및 Rar 형태의 첨부파일에는 모두 Trickbot의 BazarBackdoor 악성코드를 전달하는 JavaScript 파일이 포함되어 있습니다. Confense 측은 최근 악성 스팸 메일들을 분석한 결과, 난독화된 JavaScript 파일의 역할이 이미지 확장자의 악성 파일이 포함된 페이로드를 다운로드 하는 것임을 발견했습니다.

[그림 2] 첨부파일에 첨부된 JavaScript 파일(출처: BleepingComputer)

Confense 측은 “다양한 아카이브 유형의 파일을 중첩시키는 것은 SEG의 압축 해제 한도에 도달하거나 알 수 없는 아카이브 유형으로 인해 분류에 실패할 가능성이 있기 때문에 이러한 행위를 공격자가 의도하는 것”이라고 설명합니다.

난독화된 파일은 페이로드에 대한 여러 Encrypted Layer가 존재하는 경우 SEG에 문제를 일으킬 수 있어 악성 파일이 탐지되지 않고 통과할 가능성이 높아집니다. 또한 Confens 측은 “난독화된 JavaScript가 실행되면 HTTP GET 연결을 통해 확장자가 .png인 BazarBackdoor 페이로드를 다운로드합니다.” 라고 전달했습니다.

BazarBackdoor가 피해 PC에 배포되면 공격 후 Cobalt Strike를 다운로드하여 실행한 후 내부 네트워크를 통해 확산할 수 있습니다. 또한 공격자는 네트워크 내 데이터 서버에 액세스한 후 랜섬웨어 공격을 하거나 민감한 정보를 유출할수도 있습니다.

올해 초, 한 보안연구원은 프로그래밍 언어인 Nim으로 작성된 BazarBackdoor 변종을 발견했으며, 이는 Trickbot 개발자가 악성코드가 탐지되지 않고 공격을 수행할 수 있는 방법을 꾸준히 연구하고 있음을 의미합니다.

(출처: https://www.bleepingcomputer.com/news/security/bazarbackdoor-sneaks-in-through-nested-rar-and-zip-archives/)

보안관제센터 Team MIR