최신 보안 동향

디스코드를 악용하는 악성코드

TACHYON & ISARC 2021. 3. 17. 10:28

최근 음성 채팅을 위해 제작된 프로그램인 디스코드(Discord)에서 제공하는 기능을 사용하여 사용자에게 피해를 입히는 악성코드들이 발견되고 있다. 디스코드는 사용자의 편의를 위해 다양한 기능을 제공하며 그 중 대표적인 것이 원하는 정보를 메시지로 받을 수 있도록 하는 웹훅(WebHook)과 파일 전송을 위한 CDN(Contents Delivery Network)이다. 하지만 악성코드 제작자들은 이러한 기능들을 악용하여 사용자의 정보를 탈취하거나 추가적인 페이로드 실행으로 사용자에게 피해를 입힌다. 최근 반년 동안 디스코드를 사용한 악성코드를 조사한 결과 4가지의 특징을 보였으며 올해부터는 디스코드에서 제공하는 기능을 랜섬웨어에도 적용하는 추세이다.

 

첫 번째 특징은 웹훅을 이용하여 수집한 정보를 공격자에게 전송하는 것으로 “BleachGap” 랜섬웨어와 “TroubleGrabbr“ Stealer가 대표적이다.

두 번째 특징은 디스코드 CDN을 통해 추가 악성코드 배포 또는 파일 다운로드 목적으로 사용한다는 점이다. 지난 1월에 발견된 “Epsilon” 랜섬웨어에서 랜섬노트를 보여주기 위해 디스코드 CDN을 파일 다운로드 목적으로 사용했다.

세 번째 특징은 디스코드 사용자를 대상으로 감염을 진행한다는 점이며 3월 초에 발견된 “Hog” 랜섬웨어가 대표적이다. 해당 랜섬웨어는 공격자 서버의 초대 메시지를 이용해 사용자 인증을 한 후 감염을 진행한다.

마지막 특징은 디스코드 채팅방을 이용한 악성코드 판매이다. 악성코드 제작자는 채팅방에서 악성코드 판매 및 사용 방법 등을 지원하며 최근 발견된 채팅방에서는 Office 악성코드 빌더인 “APOMacroSploit”의 판매가 발견됐다.

 

악성코드 행위 및 유포에 디스코드를 사용하는 경우 외에도 정상 프로그램을 악의적인 목적으로 사용하거나 위장하는 경우가 자주 발견되고 있다. 그 중, 슬럽(SLUB)으로 불리는 악성코드는 원격 협업 플랫폼인 슬랙(Slack) C&C 서버로 이용하여 악성행위를 수행한다. 또한, 슬랙에서는 디스코드와 유사한 기능인 인커밍 웹훅스(Incoming Webhooks)를 제공하여 피싱 등의 다양한 악성행위가 가능하다는 점도 발견됐다. 최근에는 유튜브를 활용하는 경우가 다수 발견됐는데, 공격자는 게시된 영상의 설명란에 악성코드가 저장된 링크 또는 C&C 서버 목록을 작성하여 사용자가 다운로드 하도록 유도하거나 보안 장치 회피를 목적으로 사용하기도 한다.

 

악성코드 운영자들은 정상 프로그램은 안전하다고 생각하는 사람들의 인식을 역이용하여 악성코드를 유포한다. 이로 인해 사용자들은 악성코드에 감염됐다는 사실조차 인지하지 못하는 경우가 많다. 더욱이 지난 몇 달간 자주 언급된 디스코드 외에도 다수의 사람이 이용하는 메신저, 원격 프로그램 등이 악성행위에 주로 사용될 수 있으며 꾸준히 발견되므로 주의가 필요하다.

 

 

  디스코드 웹훅을 이용한 정보 탈취

    BleachGap 랜섬웨어

BleachGap” 랜섬웨어는 웹훅을 이용하여 감염된 PC에서 수집된 정보를 공격자에게 디스코드 메시지로 전송한다.

 

[그림 1] BleachGap 랜섬웨어 디스코드 웹훅 사용

2021.02.25 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석] “BleachGap” 랜섬웨어

 

    TroubleGrabber Stealer

랜섬웨어 이외에 디스코드 기능을 사용하는 악성코드는 대표적으로 “TroubleGrabber”가 있다. “TroubleGrabber” [그림 2]와 같이 클라이언트 파일을 변조하여 디스코드가 실행될 때마다 수집된 정보를 공격자에게 전송한다.

 

[그림 2] TroubleGrabber Stealer 디스코드 웹훅 사용

2020.12.04 - [분석 정보/악성코드 분석 정보] - [악성코드 분석] TroubleGrabber Stealer 악성코드 분석 보고서

 

  디스코드 CDN을 이용한 파일 다운로드

    Epsilon 랜섬웨어

Epsilon” 랜섬웨어는 감염 사실 및 랜섬머니 지불 경로를 알리기 위해 디스코드 CDN을 사용하여 랜섬노트를 다운로드 받은 후 감염된 PC에서 보여준다.

 

[그림 3] Epsilon 랜섬웨어 디스코드 CDN 연결

2021.01.27 - [분석 정보/랜섬웨어 분석 정보] - [랜섬웨어 분석] “Epsilon” 랜섬웨어

 

  디스코드 사용자 인증

    Hog 랜섬웨어

가장 최근에 발견된 “Hog” 랜섬웨어는 디스코드 사용자를 대상으로 파일을 암호화한다. 해당 랜섬웨어가 실행되면 공격자가 직접 만든 디스코드 서버로 접속을 시도하여 사용 중임을 인증한 후 감염을 진행한다.

 

[그림 4] Hog 랜섬웨어 디스코드 사용자 인증

 

랜섬웨어 제작자는 [그림 5]와 같이 파일 복구를 위해 디스코드 토큰을 입력할 것을 요구한다. 만약, 사용자가 해당 값을 입력하여 토큰이 유출된다면 계정이 도용될 수 있으므로 주의가 필요하다.

 

[그림 5] Hog 랜섬웨어 디스코드 사용자 토큰 요구

 

  디스코드 채팅방을 이용한 악성코드 판매

    APOMacroSploit 빌더 악성코드

최근 외신에 따르면 ““APOMacroSploit”이라는 Office 악성코드 빌더가 디스코드를 통해 판매되고 있는 것이 발견됐다. 이들은 [그림 6]과 같이 디스코드 채널을 생성한 후 구매자에게 사용 방법 등을 지원하는 것으로 알려졌다.

 

[그림 6] 디스코드 채팅방을 이용한 APOMacroSploit 빌더 판매 (출처 : CheckPoint)

2021.03.12 - [최신 보안 동향] - Office 악성코드 빌더 ““APOMacroSploit”” 발견

 

  정상 프로그램을 악의적인 목적으로 사용하는 악성코드

    슬랙을 활용한 악성코드

슬럽(SLUB)은 슬랙과 깃허브의 기스트 서비스를 악용하는 악성코드이다. 해당 악성코드는 악성 행위를 위해 기스트 서비스를 이용하여 명령어가 작성된 코드 스니펫을 다운로드한 후, 악성코드 운영자가 만들어둔 슬랙 채널과 통신하여 해당 명령어에 맞는 동작을 수행한다. 이 외에도 슬랙에서 제공하는 기능 중 메시지 공유를 위한 인커밍 웹훅스(Incoming Webhooks)를 사용하는 공격도 발견됐다. 인커밍 웹훅스는 URL만 알고 있다면 슬랙 회원이 아니어도 이용가능하며 해당 기능을 악용할 경우 피싱 등의 다양한 악성행위가 가능하다.

2019.05.02 - [분석 정보/악성코드 분석 정보] - [악성코드 분석]Slack, Github을 이용해 통신하는 SLUB 백도어 감염 주의

 

    유튜브를 활용한 악성코드

최근 유튜브를 이용하여 악성코드가 유포되고 있다. 공격자는 상용 소프트웨어를 불법으로 사용하는 방법을 설명하는 영상을 유튜브에 게시하고 상세 설명에 악성코드가 저장된 링크를 적어 사용자가 다운로드하도록 유도하는 방식을 사용한다.

2018.10.18 - [분석 정보/악성코드 분석 정보] - [악성코드 분석]유명 게임 치팅 프로그램으로 위장한 악성파일 유포 주의

 

이와 유사한 방식을 사용하는 악성코드는아스타로스(Astaroth)”가 있다. 아스타로스 운영진은 다수의 유튜브 채널을 개설하고채널 설명란에 C&C 서버로 사용할 도메인 목록을 작성한다. 이 목록들은 추후 C&C 서버를 연결할 때 사용되며 정상 프로그램을 이용하므로 보안 장치를 회피 할 수 있다.