다크게이트(DarkGate). 2024년 1월 중순에 발견된 정교한 멀웨어 캠페인이다. 이 공격 캠페인은 최근 패치된 마이크로소프트의 제로데이 공격 결함을 교묘하게 악용했다.

다크게이트는 CVE-2024-21412라는 보안취약점을 활용해 스마트스크린 보호 기능을 우회하고 공격자가 특수하게 제작된 인터넷 바로 가기 파일을 통해 시스템에 침투할 수 있게 해준다. 일단 이 취약점이 악용되면 피해자는 합법적인 소프트웨어로 가장한 악성 설치 프로그램 웹에 의해 감염 당한다.

트렌드마이크로의 최근 연구 결과에 따르면, 다크게이트는 정밀하게 조율된 다층적 공격 체인을 활용한다. 의심하지 않는 사용자가 피싱 이메일을 통해 전달된 PDF 첨부 파일에 포함된 링크를 클릭하면서 공격이 시작된다.

이러한 해킹 링크는 구글의 doubleclick.net 도메인에서 오픈 리디렉션을 배포하여 피해자를 악성URL 파일이 있는 손상된 서버로 유도한다. CVE-2024-21412를 악용하는 이 파일은 위조된 MS 소프트웨어를 설치하여 교활한 다크미 멀웨어의 페이로드를 설치한다.

한편 다크게이트의 무기는 CVE-2024-21412의 한계를 넘어선다. 현재 패치가 완료된 또 다른 윈도우 스마트스크린의 우회 취약점인 CVE-2023-36025(CVSS 점수 8.8)는 최근 몇 달 동안 위협 공격자들이 악용하고 있다. 이 취약점을 통해 다크게이트는 페메드론 스틸러, 미스파두와 같은 다른 악성 단체와 함께 공격을 하고 있다.

또한, 다크게이트는 구글 광고를 활용해 위협 행위자가 맞춤형 광고 캠페인을 통해 도달 범위를 확장할 수 있게 해준다. 공격자들은 개방형 리디렉션과 함께 가짜 소프트웨어 설치 프로그램을 배포함으로써 의심하지 않는 사용자의 신뢰를 악용해 악성코드 감염의 폭을 증폭시키고 있다.

이 전쟁의 최전선에 있는 보안 연구원 피터 기르너스, 알리악바르 자흐라비, 사이먼 주커브라운은 경계와 사용자 교육이 중요하다고 강조합니다. 이들은 비공식 채널의 소프트웨어 설치 프로그램을 신뢰하지 말라고 경고하며, 소프트웨어 설치 시 공식 출처를 준수하는 것이 중요하다고 강조합니다.

한편 어도비 리더 및 노턴을 비롯한 인기 소프트웨어의 위조 설치 프로그램은 이러한 교활한 공격 프로그램을 배포하는 통로 역할을 하며 전 세계 조직에 심각한 위협이 되고 있다. 각별한 주의가 요구된다.

또한 플래닛 스틸러, 레이지 스틸러, 트윅스와 같은 새로운 멀웨어 군은 공격자들이 최근 널리 활용하고 있으며 멀웨어를 유포하기 위해 유튜브 및 디스코드와 같은 합법적인 플랫폼을 이용하고 있어 더욱 위험한 상황이다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★