스카이프를 이용한 악성코드 유포 사례 발견: 중동 지역 SMB를 노린 GodRAT 공격 주의보

최근 스카이프 메신저를 통해 악성코드를 유포하는 사이버 범죄 사례가 발견되어 주의가 요구됩니다. 특히 중동 지역의 중소기업(SMB)들이 주요 공격 대상으로 지목되어 피해 확산 방지를 위한 적극적인 대응이 필요합니다.

새로운 악성코드 GodRAT의 등장

카스퍼스키의 사이버 보안 연구원들은 이전에 발견되지 않았던 새로운 악성코드 변종인 GodRAT을 발견했습니다. 이 악성코드는 악성 스크린세이버 파일로 위장하여 유포되었으며, 마치 금융 문서처럼 보이도록 설계되었습니다. 공격자들은 2025년 3월까지 스카이프 메신저를 통해 피해자들에게 악성코드를 전달하다가 이후 다른 채널로 전환했습니다.

스테가노그래피 기법을 이용한 악성코드 숨김

해커들은 이미지 파일 안에 가짜 금융 데이터를 숨겨놓았습니다. 스테가노그래피 기술을 사용하여 파일 내부에 쉘코드를 숨기고, 활성화되면 제3자 서버에서 GodRAT 악성코드를 다운로드하도록 했습니다. GodRAT은 운영체제 정보, 로컬 호스트 이름, 악성코드 프로세스 이름 및 ID, 악성코드 프로세스와 연결된 사용자 계정, 설치된 안티바이러스 소프트웨어, 캡처 드라이버 유무 등의 정보를 수집합니다.

GodRAT의 기능 및 2차 공격 연계

GodRAT은 수집된 정보를 바탕으로 공격자에게 추가 플러그인을 다운로드할 수 있는 기능을 제공합니다. 이러한 플러그인은 파일 탐색기나 비밀번호 탈취 도구와 같은 형태로 제공될 수 있습니다. 일부 사례에서는 GodRAT을 사용하여 AsyncRAT이라는 2차 악성코드를 배포하여 지속적인 접근 권한을 확보하기도 했습니다.

GodRAT의 진화 및 유사점

카스퍼스키 GReAT의 보안 연구원인 사우라브 샤르마는 "GodRAT은 2023년에 카스퍼스키가 보고한 AwesomePuppet의 진화된 형태이며 Winnti APT와 관련이 있을 가능성이 높습니다. 배포 방법, 드문 명령줄 매개변수, Gh0st RAT와의 코드 유사성, 고유한 핑거프린트 헤더와 같은 공유된 아티팩트는 공통된 기원을 시사합니다."라고 밝혔습니다.

과거 악성코드의 재활용과 보안 위협

GodRAT의 발견은 오랫동안 알려진 도구가 오늘날의 사이버 보안 환경에서도 여전히 유효할 수 있음을 보여줍니다. 카스퍼스키는 피해자 수나 캠페인의 성공률에 대해서는 구체적으로 언급하지 않았지만, 피해자가 주로 UAE, 홍콩, 요르단, 레바논의 중소기업(SMB)이라는 점을 강조했습니다.

결론

스카이프를 통한 악성코드 유포는 여전히 유효한 공격 경로임을 보여주는 사례입니다. 중동 지역의 SMB들은 특히 주의를 기울여야 하며, 출처가 불분명한 파일이나 링크를 클릭하지 않도록 각별히 신경 써야 합니다. 또한, 최신 보안 패치를 유지하고, 강력한 백신 프로그램을 사용하는 것이 중요합니다. 사이버 공격은 끊임없이 진화하고 있으므로, 지속적인 보안 교육과 예방 노력이 필수적입니다.