사이버보안 연구원들이 새로운 악성코드인 '플레이풀고스트(PLAYFULGHOST)'를 발견했다. 이 악성코드는 키로깅, 화면 캡처, 오디오 녹음, 원격 제어 등 다양한 스파이 기능을 제공하며, 정교한 지속성 확보 및 탐지 회피 기술을 사용해 피해 시스템에 깊이 자리잡는 것이 특징이다. 연구에 따르면 PLAYFULGHOST는 2008년에 소스 코드가 공개된 Gh0st RAT와 유사한 기능을 가지고 있다.
PLAYFULGHOST는 주로 피싱 이메일과 SEO 포이즈닝을 통해 초기 감염에 성공하는 것으로 나타났다.
피싱 이메일의 경우, 공격자는 이미지 파일로 위장된 RAR 압축 파일을 배포한다. 피해자가 이를 실행하면 악성 실행 파일이 설치되며, 최종적으로 원격 서버에서 PLAYFULGHOST가 다운로드 및 실행된다. 한편, SEO 포이즈닝 기법은 VPN 애플리케이션 설치 파일로 위장한 악성코드를 배포하여 사용자를 속인다. 감염된 파일이 실행되면 중간 페이로드가 로드되고, 이를 통해 PLAYFULGHOST의 구성 요소가 다운로드된다.
■지속성과 탐지 회피 기술
PLAYFULGHOST는 감염된 시스템에서 다양한 방법으로 지속성을 확보한다. 레지스트리 키, 예약 작업, 시작 프로그램 폴더, 윈도우 서비스 등을 활용해 시스템 부팅 시 자동으로 실행되도록 설정한다. 또한 DLL 하이재킹 및 사이드로딩 기법을 통해 악성 DLL을 실행하며, 이를 통해 백도어를 메모리에 로드하고 암호를 해독한다.
특정 사례에서는 바로가기 파일과 다른 파일의 조합으로 악성 DLL을 생성하고 이를 실행 파일로 사이드로딩하는 고도화된 기술도 발견됐다.
PLAYFULGHOST는 광범위한 데이터 수집 및 시스템 조작 기능을 제공한다. 키 입력 기록, 스크린샷 캡처, 오디오 녹음은 물론, 특정 애플리케이션의 캐시 및 프로필을 삭제하거나 클립보드 데이터를 지우는 등의 작업을 수행한다. 또한, 웹 브라우저 및 메시징 애플리케이션의 로컬 저장소를 삭제하고 추가 악성 페이로드를 설치하는 등 강력한 시스템 조작 기능을 갖추고 있다.
■추가 도구 배포로 공격 강화
공격자는 PLAYFULGHOST와 함께 다양한 악성 도구를 배포하며, 이를 통해 공격을 한층 강화한다. 미미캣츠를 활용해 시스템에서 자격 증명을 탈취하거나, 루트킷으로 파일과 프로세스를 은폐해 악성코드 탐지를 어렵게 만든다. 또한, 취약한 드라이버를 활용해 보안 프로세스를 종료하는 도구도 사용된 것으로 나타났다.
보안 분석가들은, PLAYFULGHOST의 타깃은 중국어 사용자가 주를 이룰 가능성이 높다고 강조했다. 공격자가 사용한 특정 애플리케이션과 VPN 유도 방식을 보면, 중국 지역에서 많이 사용되는 소프트웨어들이 주요 감염 경로로 사용되었기 때문이다. 이는 과거 Gh0st RAT를 활용한 유사 공격과도 연결점이 있다.
PLAYFULGHOST의 발견은 공개된 악성코드 소스 코드가 지속적으로 재활용되며 점점 진화하고 있음을 보여준다. 이러한 악성코드는 피싱 및 소셜 엔지니어링 공격과 결합해 보안 위협을 한층 심화시키고 있다. 전문가들은 사용자가 이메일 첨부 파일에 주의하고, 정품 소프트웨어를 사용하며, 최신 보안 업데이트를 적용하는 등 기본적인 보안 수칙을 준수해야 한다고 강조했다.
