[출처=픽사베이]
[출처=픽사베이]

[전국뉴스=이화진 기자] 3D 모델링 소프트웨어 Blender의 파일(.blend)을 악용해 정보 탈취 악성코드 StealC V2를 배포하는 새로운 사이버 공격 캠페인이 발견됐다.

이번 캠페인은 CGTrader 등 무료 3D 소재 플랫폼에 악성 파일을 업로드해 사용자가 직접 다운로드하도록 유도하는 방식으로 최소 6개월 이상 지속된 것으로 분석됐다.

사이버보안 기업 Morphisec의 연구원 슈무엘 우잔(Shmuel Uzan)은 The Hacker News와 공유한 최신 보고서에서

“위협 행위자들이 Blender의 기능을 악용해 파일을 열기만 해도 악성 스크립트가 자동 실행되도록 설계했다”고 밝혔다.

Blender는 고급 리깅(Rigging)과 자동화를 위해 .blend 파일 내부에 Python 스크립트를 포함할 수 있다.

그러나 이 기능은 보안적 제약이 거의 없어 악성 행위자들이 임의 코드를 실행할 수 있는 통로가 되곤 한다.

문제의 악성 .blend 파일에는 ‘Rig_Ui.py’라는 스크립트가 포함돼 있으며, 자동 실행 기능이 켜진 상태에서 파일을 열면 스크립트가 동작해 추가 악성 구성요소를 내려받는다.

Blender Foundation도 문서를 통해 “.blend 파일 내 Python 스크립트는 강력한 기능을 제공하지만, 스크립트가 시스템에서 할 수 있는 일을 제한하지 않기 때문에 보안 위험이 존재한다”고 인정했다.

이는 해당 악성코드가 전방위적인 계정 탈취와 개인정보 유출을 노리고 있음을 보여준다.

Morphisec은 이번 캠페인이 러시아어권 위협 행위자와 연관된 과거 공격과 동일한 전술을 보인다고 분석했다.

과거 이 그룹은 전자프런티어재단(EFF)을 사칭한 미끼 문서를 통해 온라인 게임 커뮤니티에 StealC를 배포한 전력이 있다.

두 캠페인은 ▲미끼 파일 활용 ▲백그라운드 악성코드 실행 ▲탐지 회피 기법 등 여러 면에서 유사성을 지닌다.

Morphisec은 공격자들이 Blender의 특성을 활용해 “샌드박스나 가상머신에서는 잘 실행되지 않는 GPU 기반 환경을 악용해 탐지를 회피하고 있다”고 설명했다.

이는 Blender가 일반적으로 고성능 GPU가 장착된 실제 장비에서 작업되기 때문으로, 공격자들에게는 분석 회피에 유리한 환경이 된다.

Morphisec은 사용자를 향해 다음과 같이 경고했다. “파일 출처가 확실하지 않다면 Blender의 자동 실행 기능을 반드시 비활성화하십시오. 공격자들은 3D 제작 생태계를 악용해 개발자·아티스트를 표적 삼고 있습니다.”

전문가들은 3D·디자인 플랫폼이 사이버 공격 경로로 악용되는 사례가 늘고 있어 디지털 콘텐츠 제작자들 또한 보안 위협에 노출되고 있다며 주의를 당부하고 있다.

 

 

저작권자 © 전국뉴스 무단전재 및 재배포 금지