Malicious Pidgin Plugin

디지털 환경은 끊임없이 진화하고 있으며 인스턴트 메시징 애플리케이션은 개인 및 직업적 커뮤니케이션에 필수적이 되고 있습니다. 그러나 이러한 플랫폼은 위협 행위자의 주요 타깃이 되기도 했습니다. 최근 사이버 보안 사고는 널리 사용되는 메시징 애플리케이션에 도사리고 있는 위험을 강조했으며 정교한 맬웨어 캠페인은 의심하지 않는 사용자를 표적으로 삼았습니다. 이 기사에서는 이러한 위협의 증가를 살펴보고 두 가지 중요한 사례, 즉 위협적인 Pidgin 플러그인과 Signal 애플리케이션의 손상된 포크에 초점을 맞춥니다.

피진 플러그인 침투

2024년 8월 22일, 인기 있는 오픈소스 메시징 애플리케이션인 Pidgin은 ScreenShare-OTR(ss-otr)이라는 손상된 플러그인이 공식 타사 플러그인 목록에 침투했다고 밝혔습니다. Off-the-Record(OTR) 메시징 프로토콜을 통한 화면 공유 도구로 마케팅된 이 플러그인은 악의적인 코드를 포함하는 것으로 밝혀졌습니다. 처음에는 소스 코드가 없고 다운로드할 수 있는 바이너리 파일만 제공되어 눈에 띄지 않았습니다. 이는 위협이 감지되지 않은 채로 확산될 수 있는 중대한 실수였습니다.

위협적인 역량이 드러남

사이버 보안 연구원들의 철저한 분석으로 ScreenShare-OTR 플러그인의 진짜 본질이 밝혀졌습니다. 조사 결과 이 플러그인은 여러 가지 악의적인 활동을 수행하도록 설계되었다는 사실이 밝혀졌습니다.

• 키로깅 : 플러그인은 키 입력을 기록하여 비밀번호와 개인 메시지와 같은 민감한 정보를 수집할 수 있습니다.
• 스크린샷 공유 : 이 플러그인은 스크린샷을 찍어 운영자에게 전송하는데, 이를 통해 기밀 정보가 노출될 가능성이 있습니다.
• 사기성 바이너리 다운로드 및 실행 : 해당 플러그인은 범죄가 통제하는 서버에 연결되어 PowerShell 스크립트 및 악명 높은 DarkGate 맬웨어를 포함한 추가적인 안전하지 않은 페이로드를 다운로드하고 실행합니다.

플러그인 설치 프로그램은 폴란드 회사에 발급된 합법적인 인증서로 서명되어 보안 조치를 우회하는 데 도움이 될 수 있는 진위성의 외양을 제공했습니다. 플러그인의 Windows 및 Linux 버전 모두 유사한 악의적 동작을 보였으며, 이 공격이 플랫폼 간 위협을 가하고 있음을 보여줍니다.

더 광범위한 의미

추가 조사 결과 안전하지 않은 페이로드를 호스팅하는 사이트가 합법적인 플러그인 저장소로 위장한 것으로 밝혀졌습니다. 또한 OMEMO, Pidgin Paranoia, Window Merge와 같이 손상되었을 수 있는 다른 인기 플러그인도 제공했습니다. 게다가 ScreenShare-OTR 플러그인에서 발견된 동일한 백도어가 '안티 포렌식 메시징 소프트웨어'라고 자칭하는 애플리케이션인 Cradle에서 발견되었습니다.

크래들: 가정된 신호 포크

Cradle은 가장 신뢰할 수 있는 보안 메시징 애플리케이션 중 하나인 Signal과 연관되어 있어 더욱 교활한 위험을 초래합니다. Cradle은 Signal의 오픈 소스 포크이지만 Signal Foundation의 후원을 받거나 제휴하지 않았습니다. 그럼에도 불구하고 포크된 소스 코드가 GitHub에서 부분적으로 제공되었기 때문에 사용자에게 합법성을 확신시키는 데 성공했습니다.

그러나 더 자세히 조사해보니 Cradle은 공개적으로 사용 가능한 코드와 다른 코드를 사용하여 빌드되었습니다. 이 애플리케이션에는 ScreenShare-OTR 플러그인과 동일한 악성 코드가 내장되어 있었으며, DarkGate 맬웨어를 배포하는 스크립트를 다운로드할 수 있었습니다. Cradle의 Windows 및 Linux 버전 모두에 이 맬웨어가 존재한다는 사실은 이러한 공격으로 인한 크로스 플랫폼 위험을 더욱 강조했습니다.

DarkGate: 지속적이고 진화하는 위협

DarkGate는 멀웨어 생태계의 새로운 플레이어가 아닙니다. 2018년에 처음 문서화된 이후 정교한 Malware-as-a-Service(MaaS) 플랫폼으로 진화했습니다. DarkGate는 다음을 포함한 광범위한 기능을 제공합니다.

• 숨겨진 가상 네트워크 컴퓨팅(hVNC)
• 원격 코드 실행
• 암호화폐 채굴
• 역방향 쉘 액세스

이 맬웨어는 엄격하게 통제되는 배포 모델에 따라 작동하며, 일부 고객 그룹에게만 제공됩니다. 비교적 잠복기를 거친 후, DarkGate는 2023년 9월 Qakbot 인프라가 중단되고 파괴된 후 다시 강력하게 부활했습니다. 이 부활은 여러 가지 유명한 맬웨어 캠페인과 일치하여 DarkGate가 사이버 범죄자들 사이에서 선호되는 도구가 되었음을 나타냅니다.

DarkGate 맬웨어: 감염 벡터와 글로벌 영향

DarkGate의 부활은 다양한 벡터에 걸쳐 널리 분포된 것으로 특징지어졌습니다. 2023년 8월 이후, 사이버 보안 연구자들은 DarkGate로 피해자를 감염시키기 위해 다양한 방법을 활용하는 수많은 캠페인을 관찰했습니다.

• Teams 채팅 : 피해자는 Microsoft Teams를 통해 전송된 링크를 통해 DarkGate 설치 프로그램을 다운로드하도록 속았습니다.
• 이메일 첨부 파일 : 캐비닛(.cab) 보관 파일이 포함된 이메일은 피해자를 유인하여 안전하지 않은 콘텐츠를 다운로드하고 실행하도록 하는 데 사용되었습니다.
• DLL 사이드로딩 : 합법적인 프로그램이 동적 링크 라이브러리(DLL)를 통해 DarkGate를 사이드로딩하는 데 악용되었습니다.

• 손상된 PDF : Windows 바로가기(.lnk) 파일이 들어 있는 ZIP 아카이브로의 링크가 있는 PDF 첨부 파일은 DarkGate를 배포하는 데 사용되었습니다.

• Java 아카이브(.jar) 파일 : 취약한 호스트는 Java 아카이브 파일을 통해 감염되었습니다.

• HTML 파일: 사용자는 속아서 HTML 파일에서 악성 스크립트를 복사하여 Windows 실행 창에 붙여 넣었습니다.

• 사기성 광고 : 광고 기반 캠페인을 통해 DarkGate 맬웨어가 아무것도 모르는 사용자에게 배포되었습니다.

• Samba 파일 공유 열기: Samba 파일 공유를 실행하는 서버는 DarkGate 감염을 위한 파일을 호스팅하는 데 사용되었습니다.

글로벌 도달 범위 및 영향

이러한 캠페인은 특정 지역에 국한되지 않았습니다. DarkGate 감염은 북미, 유럽 및 아시아의 상당 부분에서 보고되었습니다. 이 맬웨어는 다양한 전달 메커니즘에 적응할 수 있는 능력과 고급 회피 기술로 인해 전 세계 사이버 보안 전문가에게 강력한 적이 되었습니다.

2024년 1월, DarkGate는 여섯 번째 주요 버전을 출시했으며, 발견된 샘플은 버전 6.1.6으로 식별되었습니다. 이러한 지속적인 개발 및 개선은 위협의 지속성과 이러한 공격을 탐지하고 완화하는 데 있어 경계의 중요성을 강조합니다.

결론: 진화하는 위협에 대한 방어 강화

Pidgin과 Cradle 사용자를 대상으로 한 최근의 맬웨어 캠페인은 사이버 범죄자들이 사용하는 진화하는 전술을 강조합니다. DarkGate와 같은 정교한 맬웨어를 전달하는 벡터로 겉보기에 합법적인 애플리케이션과 플러그인을 사용하는 것은 강력한 사이버 보안 조치의 필요성을 강조합니다. 사용자는 겉보기에 평판이 좋은 출처에서조차도 타사 플러그인이나 애플리케이션을 다운로드할 때 주의해야 합니다. 한편, 개발자와 보안 전문가는 소프트웨어 생태계의 보안을 강화하기 위해 협력하여 이러한 위협이 광범위한 피해를 입히기 전에 식별되고 무력화되도록 해야 합니다.

디지털 커뮤니케이션 도구가 널리 보급된 시대에 위험은 그 어느 때보다 높아졌습니다. 위협 행위자들이 계속해서 혁신함에 따라 우리의 방어도 혁신해야 합니다. DarkGate와 같은 맬웨어와의 전쟁은 계속되고 있지만, 점점 더 큰 인식과 적극적인 습관을 통해 우리는 공격자보다 한 발 앞서 나갈 수 있습니다.