신종 악성코드 ‘FinalDraft’ 발견: 이메일 초안을 이용한 은밀한 공격

사이버 보안 연구원들이 이메일 초안을 악용한 새로운 악성코드 ‘FinalDraft’를 발견했습니다. 이 악성코드는 Outlook 이메일 초안을 통해 명령을 받고, 데이터를 탈취하고, PowerShell을 실행하는 등 다양한 악성 행위를 수행할 수 있습니다. 이번 발견은 남미 및 동남아시아 정부 기관을 대상으로 하는 ‘REF7707’ 캠페인에서 사용된 툴킷의 일부입니다.

FinalDraft의 작동 방식

공격은 피해자가 'PathLoader'라는 로더에 노출되면서 시작됩니다. 연구원들은 구체적인 감염 경로를 밝히지 않았지만, 피싱, 소셜 엔지니어링, 가짜 소프트웨어 크랙 등 일반적인 방법을 사용할 것으로 추정됩니다. 로더는 FinalDraft를 설치하고, Microsoft Graph API를 통해 통신 채널을 구축합니다. FinalDraft는 Outlook 이메일 초안을 이용하여 Microsoft로부터 OAuth 토큰을 받고, 구성에 내장된 리프레시 토큰을 사용합니다. 이 토큰은 Windows 레지스트리에 저장되어 공격자가 손상된 엔드포인트에 지속적으로 접근할 수 있도록 합니다.

FinalDraft의 위협적인 기능

FinalDraft는 공격자가 민감한 데이터 탈취, 은밀한 네트워크 터널 생성, 로컬 파일 조작, PowerShell 실행 등 다양한 명령을 수행할 수 있도록 합니다. 명령 수행 후에는 분석을 어렵게 하기 위해 해당 명령을 삭제합니다. 연구원들은 남미의 한 외무부 컴퓨터에서 이 악성코드를 발견했으며, 인프라 분석 결과 동남아시아에서도 피해 사례가 확인되었습니다. 공격 대상은 Windows와 Linux 장치를 모두 포함합니다.

공격 배후와 의도

이번 공격은 알려진 위협 행위자와 연결되지 않았지만, 목표가 간첩 행위인 점을 고려할 때 국가 지원 공격일 가능성이 높습니다. 공격의 배후를 특정하기는 어렵지만, 정부 기관을 대상으로 은밀하게 정보를 탈취하려는 고도의 공격이라는 점은 분명합니다.

보안 강화 및 대응

FinalDraft 공격에 대한 심층 분석, 탐지 메커니즘, 완화 방법, YARA 규칙은 Elastic Security Labs에서 제공하는 정보를 참고하시기 바랍니다. 조직은 이 정보를 바탕으로 자체 보안 시스템을 강화하고, 유사한 공격에 대한 대비 태세를 갖춰야 합니다. 이메일 보안 솔루션 강화, 의심스러운 링크 및 첨부 파일에 대한 경계 강화, 최신 보안 패치 적용 등 기본적인 보안 수칙을 준수하는 것이 중요합니다.

맺음말

FinalDraft 악성코드의 발견은 이메일을 이용한 공격이 더욱 정교해지고 있음을 보여줍니다. 조직은 지속적인 보안 교육과 훈련을 통해 직원들의 보안 의식을 높이고, 최신 위협 정보에 대한 꾸준한 관심을 기울여야 합니다. 또한, 위협 탐지 및 대응 시스템을 강화하여 잠재적인 공격을 사전에 차단하고, 피해를 최소화해야 합니다.