Kant's IT/Issue on IT&Security
파이널드래프트 멀웨어, ‘작성 중 메일’ 기능을 C&C 채널로 활용한 새로운 위협
Kant Jo
2025. 3. 1. 12:00
임시 저장된 ‘작성 중 메일’도 공격 도구
아웃룩 이메일 애플리케이션의 ‘작성 중 메일’ 혹은 ‘메일 임시 저장’ 기능을 C&C로 활용하는 멀웨어 파이널드래프트(FinalDraft)가 처음 등장했다. 이런 수법 덕에 공격자는 데이터 탈취와 프
www.boannews.com
- 개요
- 새로운 멀웨어 ‘파이널드래프트(FinalDraft)’, 아웃룩 ‘작성 중 메일’ 기능을 C&C(Command & Control) 채널로 악용
- 데이터 탈취, 프록싱, 프로세스 주입, 횡적 이동 등 다양한 악성 기능 수행
- 남미 외교 기관에서 최초 발견, 동남아 지역으로 확산 가능성 제기
- 공격 과정
- 패스로더(PathLoader) 사용
- 저용량 실행 파일 형태의 로더가 피해자 시스템에 설치됨
- 실행 시 셸코드가 동작하며 공격자 서버에서 추가 페이로드 다운로드
- 정적 분석을 회피하기 위해 API 해싱 및 문자열 암호화 기법 활용
- 파이널드래프트 설치 후 악성 활동 개시
- 정보 탈취 및 프로세스 주입 수행
- MS 그래프 API(MS Graph API)를 통해 공격자 서버와 통신 채널 개설
- 이후 C&C 명령은 아웃룩의 ‘작성 중 메일’을 통해 전달됨
- C&C 서버 역할을 하는 ‘작성 중 메일’ 기능
- 정상 이메일이 아니라 ‘작성 중 메일’을 악용하여 탐지 회피 가능
- MS 365 정상 트래픽 속에 악성 트래픽이 섞여 탐지 난이도 증가
- 총 37개 명령어 지원, 상황에 맞춰 공격 수행 가능
- 패스로더(PathLoader) 사용
- 리눅스 변종 발견
- 윈도 버전뿐만 아니라 리눅스용 변종도 존재
- REST API, 그래프 API, HTTP/HTTPS, 리버스 UDP(reverse UDP) 활용
- 멀웨어 개발 수준이 상당히 높으며, 운영 실수로 인해 연구원들에게 노출됨
- 결론
- 그래프 API를 활용한 첫 번째 공격 사례로 보안 업계의 주의 필요
- 조기 탐지를 위한 야라(YARA) 규칙을 보안 연구 커뮤니티에 공유
- MS 365 및 아웃룩 환경에서 ‘작성 중 메일’ 관련 비정상적인 트래픽 모니터링 필요
- 기업 및 기관은 멀웨어 탐지를 위한 로그 분석 강화 및 API 사용 정책 점검 필수