가짜 FileZilla 사이트를 이용한 악성코드 유포

[이미지] 생성형 AI 제작

 

 

최근 오픈소스 FTP 클라이언트인 FileZilla의 공식사이트를 위장한 가짜 웹사이트를 통해 악성코드를 유포하는 공격이 확인되었습니다.

공격자는 정상 FileZilla 프로그램에 악성 DLL 파일을 포함하여 배포하였으며, 이로 인해 사용자가 프로그램을 실행할 경우 정상적인 동작과 더불어 악성코드가 함께 실행되는 방식입니다.

 

유포 방식 및 공격 흐름

 

공격자는 FileZilla 공식 사이트의 디자인을 정교하게 복제한 가짜 웹사이트를 운영하며, 악성 DLL 파일이 포함된 설치 파일을 배포했습니다.

 

[그림 1] 가짜 FileZilla 사이트

 

분석 과정에서 확인된 샘플은 배포 형태에 따라 두 가지 유형으로 구분됩니다.

• Case1 – 악성 DLL 파일이 포함된 압축파일
  초기 공격에서는 FileZilla 3.69.5 Portable 버전에 악성 DLL(version.dll) 파일을 추가한 압축 파일 형태로 배포되었습니다.
  

[그림 2] 악성 DLL 파일이 추가된 FileZilla 압축파일

 

사용자가 압축을 해제하고 FileZilla 파일을 실행하면, 윈도우의 DLL 로딩 우선순위를 악용한 사이드로딩(Side-loading) 기법에 의해 악성 코드가 함께 실행됩니다.

 

DLL 사이드로딩(Sideloading)은 Windows의 DLL 검색 순서(DLL Search Order)를 악용하는 공격 기법입니다.

프로그램 실행 시 필요한 DLL을 찾기 위해 여러 경로를 검색하는데, 정상 프로그램과 동일한 경로내 악성 DLL 파일을 위치시켜 악성 DLL 파일이 먼저 로드되도록 조작하는 방식입니다.

 

• Case2 – 악성 DLL 파일이 삽입된 실행 파일(EXE)
  최근에는 정상 FileZilla 설치 프로그램과 악성 DLL을 하나로 합친 단일 실행 파일 형태로 유포되었습니다.

[그림 3] 악성 설치파일(좌)과 정상 설치파일(우) 비교

 

해당 파일을 실행하면 정상적인 설치 과정이 진행됨과 동시에, 악성 DLL이 설치 경로에 생성(Drop)되고, 이후 FileZilla 실행 시 악성 DLL이 로드되어 실행되는 방식입니다.

 

상세 분석

 

①  다단계 로더(Multi-stage Loader) 구조

실행된 악성 DLL 파일은 로더(Loader) 역할을 수행하며 보안 탐지를 피하기 위해 다단계 로더(Multi-stage Loader ) 구조를 거치게 됩니다.

각 단계의 로더는 메모리 상에서 암호화된 다음 단계 데이터를 복호화하여 로드하며, 최종적으로 RAT(Remote Access Trojan) 페이로드를 실행합니다.

FileZilla 실행 → 악성 version.dll 로드 → Stage2 Loader → Stage3 Loader → Stage4 Loader → 페이로드(RAT) 실행

 

②  DoH(DNS-over-HTTPS) 기반 C2 통신

공격자는 네트워크 보안 장비의 DNS 기반 모니터링을 우회하기 위해 DoH 기술을 활용했습니다.

 

DoH 기술은 DNS 쿼리를 암호화된 HTTPS 트래픽으로 전송하는 기술로 악성 로더는Cloudflare의 공용 리졸버인 hxxps://1.1.1.1/dns-query에 HTTPS 요청을 전송하여 C2 도메인인 welcome.supp0v3[.]com의 IP 주소를 확인합니다.

 

이러한 방식은 텍스트 형태의 DNS 쿼리가 아닌 암호화된 HTTPS 트래픽으로 위장하여 DNS 모니터링을 회피하고, 보안 장비가 53번 포트(DNS 표준포트) 트래픽을 검사하거나 특정 도메인을 차단하더라도, DoH 요청은 신뢰할 수 있는 서비스(Cloudflare)로 향하는 정상적인 웹 트래픽으로 간주되어 DNS 기반 차단을 우회할 수 있습니다.

 

 

③  유입 경로 식별 파라미터를 활용한 조직적 운영 체계

C2 통신 과정에서 사용되는 JSON 데이터를 분석한 결과 utm_tag, utm_source, referrer 등의 파라미터 조합이 확인되었습니다.

 

[그림 4] case1( 위)과 case2(아래) JSON 비교

• Case1
  {"tag":"tbs","referrer":"dll","callback":"hxxps://welcome.supp0v3[.]com/d/callback?utm_tag=tbs2&utm_source=dll"}
  
  
• Case2 
  {"tag":"tbs","referrer":"FileZilla","callback":"hxxps://welcome.supp0v3[.]com/d/callback"}

이는  단순한 C2 통신이 아니라 공격자가 감염 경로와 피해자 그룹을 체계적으로 관리하고 있음을 시사하며, 이번 공격이 개인이 아닌 특정 공격 그룹의 의해 조직적으로 운영되고 있는 것으로 볼 수 있습니다.

 

 

④ 분석 환경 탐지

악성 DLL 파일에는 페이로드를 실행하기 전 분석 환경 여부를 체크하도록 설계된 여러 검사기능이 적용되어 있습니다.

시스템 BIOS 버전, 제조업체 정보(VMware, VirtualBox 등)를 조회하고, 프로세스 목록, 드라이버, 레지스트리 등 18종의 항목을 체크하여 가상 환경 인지를 확인합니다.

 

프로세스명	기능
vmtoolsd.exe	VMware Tools 데몬
vmwaretray.exe	VMware System Tray
vmwareuser.exe	VMware User Process
VGauthService.exe	VMware Guest Auth Service
vmacthlp.exe	VMware Activation Helper

[표 1] VMware 프로세스 체크리스트

 

드라이버명	기능
vmnet.sys	VMware 네트워크 드라이버
vmmouse.sys	VMware 가상 마우스 드라이버
vmusb.sys	VMware USB 드라이버
vm3dmp.sys	VMware SVGA II 3D 드라이버
vmci.sys	VMware VMCI 버스 드라이버
vmhgfs.sys	VMware Host-Guest 파일시스템
vmmemctl.sys	VMware 메모리 제어 드라이버
vmx86.sys	VMware 가상화 커널 드라이버
vmrawdsk.sys	VMware Raw Disk 드라이버
vmusbmouse.sys	VMware USB HID 마우스 드라이버
vmkdb.sys	VMware 커널 디버거 관련
vmnetuserif.sys	VMware 네트워크 유저 인터페이스 드라이버
vmnetadapter.sys	VMware 네트워크 어댑터 드라이버

[표 2] VMware 드라이버 체크리스트

 

 

RAT 주요 기능

 

최종 페이로드는 RAT(Remote Access Trojan) 악성코드로 확인되었으며, 공격자의 명령에 따라 다음과 같은 행위를 수행할 수 있습니다.

• 정보 탈취 (Credential Theft) - 웹 브라우저 및 시스템에 저장된 인증 정보 수집
• 키 입력 수집 (Keylogging) - 사용자의 키 입력을 기록하여 민감 정보 수집
• 화면 캡처 (Screenshot Capture) - 감염된 시스템의 화면을 캡처하여 전송
• 원격 제어 (HVNC) - 숨겨진 가상 데스크톱 세션을 생성하여 원격 제어를 수행하는 HVNC 기능을 통해 사용자 몰래 웹 브라우저 실행, 추가 악성코드 다운로드, 내부 시스템 접근 등 악성 행위 수행
  
  
  

공격 특징 

 

이번 FileZilla 사칭 공격은 다음과 같은 보안 위협적 특징을 보입니다.

• 사회공학적 공격: 취약점 악용이 아닌 사용자가 직접 악성 파일을 내려받도록 유도하는 사회공학적 기법을 활용
• 고도화된 탐지 우회 기법 활용 : DLL 사이드로딩 및 다단계 로더, DoH 기술을 통해 엔드포인트/네트워크 탐지 차단
• 체계적인 타겟 관리: 식별 태그를 통한 유입 경로 추적 및 관리
• 분석방해 기법 적용: 다양한 시스템 지표를 대조하여 가상 머신 여부를 식별하고 분석 시도를 무력화
  
  

 

이번 사례는 취약점 악용이 아닌 가짜 웹사이트와 악성코드가 삽입된 정상 프로그램을 이용한 사회공학적 공격으로 가짜 웹사이트를 통한 악성코드 유포가 여전히 활발히 이루어지고 있음을 보여줍니다.

 

프로그램은 반드시 공식 사이트에서 다운로드하고, 출처가 불분명한 파일 실행을 자제하는 등 기본적인 보안 수칙을 준수하는 것이 무엇보다 중요합니다.

 

 

IoC

Indicator	Type	Description	Detection Name
C608AC44ED1F4FE707B9520F87FB1564	MD5	DLL 파일	Backdoor.Agent.361984A
9D7C559F1885EDE6911611165EFF07F7	MD5	DLL 파일	Backdoor.Agent.361984A
D7C3ECB76C03C1C0AA98D4E2D71C2BCF	MD5	FileZilla 설치파일	Trojan.Dropper.Agent
filezilla-project[.]live	DOMAIN	가짜 FileZilla사이트
hxxps://welcome.supp0v3[.]com/d/callback?utm_tag=tbs2&utm_source=dll	URL	C2
95.216.51[.]236:31415	IP	C2