APT 조직들 중 일부가 랜섬웨어를 위장 도구로 활용하는 것과 같은 사례들이 발굴됐다. 자신들의 진짜 목적은 다른 데 있는데 랜섬웨어 공격자들이 한 것처럼 일을 꾸밈으로써 이들은 추적자들을 눈을 다른 곳으로 유도할 수 있게 된다. 그러면서 피해는 피해대로 입힐 수도 있으니 1석 2조다.
[보안뉴스 문정후 기자] 중국의 APT 조직이 랜섬웨어를 전술적으로 활용하고 있다는 내용의 보고서가 발표됐다. 보안 업체 센티넬원(SentinelOne)과 레코디드퓨처(Recorded Future)에서 합동으로 조사한 결과로, 북한의 해커로 의심되는 조직들에서도 비슷한 움직임이 나타나고 있다고 한다. 그렇기 때문에 북한의 주된 표적이 되고 있는 한국의 기업과 기관들도 염두에 두어야 할 것으로 보인다.
[이미지 = gettyimagesbank]
두 회사가 합동으로 작성한 보고서에 의하면 랜섬웨어를 전면에 내세우고 사실은 다른 목적을 달성하기 위해 실행된 공격은 2021년부터 2023년 사이에 주로 일어났다고 한다. 그런 공격자들 중 눈에 띄는 건 카멜갱(ChamelGang)이라는 중국의 APT 조직과 안다리엘(Andariel)이라고 하는 북한의 APT 조직이다.
메가트렌드 속 진짜 위험
카멜갱의 경우 그 동안 여러 조직들을 공격해 왔는데, 센티넬원과 레코디드퓨처의 보고서에서 상세히 언급된 건 두 가지 사건이다. 2022년의 브라질 대통령실(Presidency of Brazil) 해킹 사건과 전인도의학연구소(AIIMS) 해킹 사건이다. 당시 이 두 사건에 대해서는 상세히 알려진 바가 없었는데, 두 회사는 “캣비(CatB)라는 랜섬웨어에 공격을 당했다는 증거들이 충분히 발견됐다”고 밝혔다. 여기에 더해 2023년 인도의 한 항공 분야 조직 하나와 동아시아의 정부 기관 하나도 비슷한 수법에 피해를 입었다고 한다.
해당 사건들과 그 외 다른 여러 가지 사건들은 여태까지 각각 별개의 랜섬웨어 사건으로서 알려져 있었다. 그렇게 하더라도 ‘대세를 거스르지는 않았었다’. 랜섬웨어가 기승을 부리고 있고, 점점 더 위협적으로 변모해가고 있다는 큰 흐름이 존재하고 있었기 때문이다. 이 사건들이 별개의 랜섬웨어 사건이라 하더라도, 어차피 세계 곳곳에서 랜섬웨어 피해가 늘어나고 있는 마당이라 이질감이 전혀 없었다는 뜻이다.
하지만 이번 보고서를 통해 “랜섬웨어의 폭증”이라는 메가트렌드 물밑으로 예리한 위협이 존재해 왔음이 새롭게 드러났다고 할 수 있다. 그건 바로 정보 탈취와 에스피오나지를 목적으로 한 APT 단체들이 자신들의 목적을 달성하기 위해 랜섬웨어 공격을 전면에 내세우고 있다는 것이다. 그렇게 했을 때 어떤 이점이 있을까? 두 업체는 다음과 같이 설명한다.
“원래 정찰과 정보 탈취를 위한 목적으로 움직이던 사이버 공격자들, 즉 APT 단체들이 점점 더 랜섬웨어로 자신들의 행위를 위장하고 있습니다. 그렇게 했을 때 ‘지금 일어난 일은 돈을 목적으로 한 사이버 범죄 조직이 저지른 것이야’라는 뉘앙스를 남길 수 있습니다. 혹은 ‘지금 일어난 일은 피해자의 장비와 데이터와 네트워크를 파괴하려는 목적으로 감행된 것이야’라는 뉘앙스도 남길 수 있겠고요. 그렇게 함으로써 조사자들이 엉뚱한 자들을 뒤쫓게 만들 수 있습니다. 수사에 큰 혼선을 주는 것이죠. 그러는 동안 공격자들은 시간을 더 벌 수도 있겠고요.”
하지만 그것만이 아니다. 랜섬웨어로 인해 여차하면 피해자들에게 실제 피해를 안길 수도 있다. “공격자들이 조용히 머물러 있는 건 훔쳐낼 정보가 있을 때까지만입니다. 더 이상 가져갈 것이 없다고 판단되거나, 피해자를 쭉 염탐했더니 반드시 파괴를 해야만 할 필요가 있다고 느낄 때 실제로 랜섬웨어를 사용해 데이터를 암호화 한다거나 장비를 벽돌로 만들어버리는 등의 일을 할 수 있습니다. 공격자들에게는 랜섬웨어가 여러 모로 쓸모 있다는 겁니다.”
카멜갱의 이모저모
두 회사의 보고서에 의하면 카멜갱은 이미 예전부터 보안 전문가들이나 사법 기관의 추적을 따돌리는 데 일가견이 있었다고 한다. “카멜갱은 다양한 공격 도구를 사용할 줄 아는 단체입니다. 이미 널리 공개된 공격 도구들을 특히 잘 사용하는데, 그런 도구들은 아무나 사용할 수 있으므로 특정 공격 조직을 용의 선상에 올리기가 까다로워집니다. 최근 많은 공격자들이 오픈소스 도구들이나 정상적인 솔루션들을 가지고 공격을 실시하려 하는 편인데, 다 이런 추적 방해 혹은 분석 방해와 관련이 있습니다.”
게다가 다양한 공격 도구를 활용할 때, 공격자들은 다양한 목적을 달성할 수 있다. 카멜갱은 2021년 처음 발견된 이래 정보 수집, 정보 탈취, 디도스, 정보전, 금전적 피해 누적 등의 공격을 감행해 왔다고 한다. 이를 위해 카멜갱은 비컨로더(BeaconLoader), 코발트스트라이크(Cobalt Strike), 오크도어(AukDoor), 도어미(DoorMe), 제티코베스트크립트(Jetico BestCrypt), 마이크로소프트비트락커(Microsoft BitLocker) 등을 사용한 것으로 분석됐다. 여기에 더해 위에 언급된 캣비(CatB) 등이 있다. 캣비 사건 중 비컨로더나 코발트스트라이크가 같이 사용된 사례들이 종종 있는 것으로 알려져 있다.
여기서 도어미는 커스텀 멀웨어, 즉 카멜갱이 독자적으로 만들거나 수정한 공격 도구다. MG드라이브(MGDrive)라는 멀웨어 역시 카멜갱이 직접 손 본 해킹 도구로 알려져 있다. 참고로 MG드라이브의 맥OS 버전은 기믹(Gimmick)이라는 이름으로 불린다. 그렇다는 건 카멜갱이 누구나 사용할 수 있는 공격 도구도 사용하지만 자신들만의 도구도 개발할 수 있다는 뜻이 된다.
다른 공격자들과의 연관성
재미있는 건 이들의 커스텀 멀웨어를 다른 중국 APT 조직인 REF2924와 스톰클라우드(Storm Cloud)도 몇 번 사용한 적이 있다는 것이다. 이는 그리 놀라운 일이 아니다. 중국의 사이버 공격자들 사이에서는 계속해서 연관성이 발견되고 있기 때문이다. 중국의 해킹 단체들끼리는 도구와 전술, 노하우 등을 나누는 정황이 자주 목격되고 있다. 그래서 정부 기관이 중앙에서 해킹 단체들을 통솔하고 있는 것 아니냐는 의혹도 이전부터 나올 정도다.
카멜갱이 사용하는 도구 중에 차이나초퍼(China Chopper)라는 것도 있다. 일종의 웹셸이자 백도어인데, 디트랙(DTrack)이라는 이름으로도 불린다. 문제는 이 도구가 중국의 또 다른 APT 조직인 APT41은 물론 북한의 안다리엘과도 관련이 있다는 것이다. “과거 중국과 북한의 해킹 조직 일부가 차이나초퍼를 사용했던 적이 있습니다. 그와 관련된 아티팩트들도 겹치는 것들이 여럿 나왔습니다. 다만 이것만 가지고 이러한 조직들 간에 연관성 여부를 확정 짓기는 힘듭니다.”
3줄 요약
1. 최근 중국의 해킹 조직 카멜갱의 움직임이 심상치 않음.
2. 랜섬웨어를 전략적으로 활용해 APT 활동을 숨기는 것으로 보임.
3. 게다가 이들이 사용하는 공격 도구나 전략이 다른 해킹 조직의 그것과 맞물릴 때가 많음.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 중국의 APT 조직이 랜섬웨어를 전술적으로 활용하고 있다는 내용의 보고서가 발표됐다. 보안 업체 센티넬원(SentinelOne)과 레코디드퓨처(Recorded Future)에서 합동으로 조사한 결과로, 북한의 해커로 의심되는 조직들에서도 비슷한 움직임이 나타나고 있다고 한다. 그렇기 때문에 북한의 주된 표적이 되고 있는 한국의 기업과 기관들도 염두에 두어야 할 것으로 보인다.
[이미지 = gettyimagesbank]
두 회사가 합동으로 작성한 보고서에 의하면 랜섬웨어를 전면에 내세우고 사실은 다른 목적을 달성하기 위해 실행된 공격은 2021년부터 2023년 사이에 주로 일어났다고 한다. 그런 공격자들 중 눈에 띄는 건 카멜갱(ChamelGang)이라는 중국의 APT 조직과 안다리엘(Andariel)이라고 하는 북한의 APT 조직이다.
메가트렌드 속 진짜 위험
카멜갱의 경우 그 동안 여러 조직들을 공격해 왔는데, 센티넬원과 레코디드퓨처의 보고서에서 상세히 언급된 건 두 가지 사건이다. 2022년의 브라질 대통령실(Presidency of Brazil) 해킹 사건과 전인도의학연구소(AIIMS) 해킹 사건이다. 당시 이 두 사건에 대해서는 상세히 알려진 바가 없었는데, 두 회사는 “캣비(CatB)라는 랜섬웨어에 공격을 당했다는 증거들이 충분히 발견됐다”고 밝혔다. 여기에 더해 2023년 인도의 한 항공 분야 조직 하나와 동아시아의 정부 기관 하나도 비슷한 수법에 피해를 입었다고 한다.
해당 사건들과 그 외 다른 여러 가지 사건들은 여태까지 각각 별개의 랜섬웨어 사건으로서 알려져 있었다. 그렇게 하더라도 ‘대세를 거스르지는 않았었다’. 랜섬웨어가 기승을 부리고 있고, 점점 더 위협적으로 변모해가고 있다는 큰 흐름이 존재하고 있었기 때문이다. 이 사건들이 별개의 랜섬웨어 사건이라 하더라도, 어차피 세계 곳곳에서 랜섬웨어 피해가 늘어나고 있는 마당이라 이질감이 전혀 없었다는 뜻이다.
하지만 이번 보고서를 통해 “랜섬웨어의 폭증”이라는 메가트렌드 물밑으로 예리한 위협이 존재해 왔음이 새롭게 드러났다고 할 수 있다. 그건 바로 정보 탈취와 에스피오나지를 목적으로 한 APT 단체들이 자신들의 목적을 달성하기 위해 랜섬웨어 공격을 전면에 내세우고 있다는 것이다. 그렇게 했을 때 어떤 이점이 있을까? 두 업체는 다음과 같이 설명한다.
“원래 정찰과 정보 탈취를 위한 목적으로 움직이던 사이버 공격자들, 즉 APT 단체들이 점점 더 랜섬웨어로 자신들의 행위를 위장하고 있습니다. 그렇게 했을 때 ‘지금 일어난 일은 돈을 목적으로 한 사이버 범죄 조직이 저지른 것이야’라는 뉘앙스를 남길 수 있습니다. 혹은 ‘지금 일어난 일은 피해자의 장비와 데이터와 네트워크를 파괴하려는 목적으로 감행된 것이야’라는 뉘앙스도 남길 수 있겠고요. 그렇게 함으로써 조사자들이 엉뚱한 자들을 뒤쫓게 만들 수 있습니다. 수사에 큰 혼선을 주는 것이죠. 그러는 동안 공격자들은 시간을 더 벌 수도 있겠고요.”
하지만 그것만이 아니다. 랜섬웨어로 인해 여차하면 피해자들에게 실제 피해를 안길 수도 있다. “공격자들이 조용히 머물러 있는 건 훔쳐낼 정보가 있을 때까지만입니다. 더 이상 가져갈 것이 없다고 판단되거나, 피해자를 쭉 염탐했더니 반드시 파괴를 해야만 할 필요가 있다고 느낄 때 실제로 랜섬웨어를 사용해 데이터를 암호화 한다거나 장비를 벽돌로 만들어버리는 등의 일을 할 수 있습니다. 공격자들에게는 랜섬웨어가 여러 모로 쓸모 있다는 겁니다.”
카멜갱의 이모저모
두 회사의 보고서에 의하면 카멜갱은 이미 예전부터 보안 전문가들이나 사법 기관의 추적을 따돌리는 데 일가견이 있었다고 한다. “카멜갱은 다양한 공격 도구를 사용할 줄 아는 단체입니다. 이미 널리 공개된 공격 도구들을 특히 잘 사용하는데, 그런 도구들은 아무나 사용할 수 있으므로 특정 공격 조직을 용의 선상에 올리기가 까다로워집니다. 최근 많은 공격자들이 오픈소스 도구들이나 정상적인 솔루션들을 가지고 공격을 실시하려 하는 편인데, 다 이런 추적 방해 혹은 분석 방해와 관련이 있습니다.”
게다가 다양한 공격 도구를 활용할 때, 공격자들은 다양한 목적을 달성할 수 있다. 카멜갱은 2021년 처음 발견된 이래 정보 수집, 정보 탈취, 디도스, 정보전, 금전적 피해 누적 등의 공격을 감행해 왔다고 한다. 이를 위해 카멜갱은 비컨로더(BeaconLoader), 코발트스트라이크(Cobalt Strike), 오크도어(AukDoor), 도어미(DoorMe), 제티코베스트크립트(Jetico BestCrypt), 마이크로소프트비트락커(Microsoft BitLocker) 등을 사용한 것으로 분석됐다. 여기에 더해 위에 언급된 캣비(CatB) 등이 있다. 캣비 사건 중 비컨로더나 코발트스트라이크가 같이 사용된 사례들이 종종 있는 것으로 알려져 있다.
여기서 도어미는 커스텀 멀웨어, 즉 카멜갱이 독자적으로 만들거나 수정한 공격 도구다. MG드라이브(MGDrive)라는 멀웨어 역시 카멜갱이 직접 손 본 해킹 도구로 알려져 있다. 참고로 MG드라이브의 맥OS 버전은 기믹(Gimmick)이라는 이름으로 불린다. 그렇다는 건 카멜갱이 누구나 사용할 수 있는 공격 도구도 사용하지만 자신들만의 도구도 개발할 수 있다는 뜻이 된다.
다른 공격자들과의 연관성
재미있는 건 이들의 커스텀 멀웨어를 다른 중국 APT 조직인 REF2924와 스톰클라우드(Storm Cloud)도 몇 번 사용한 적이 있다는 것이다. 이는 그리 놀라운 일이 아니다. 중국의 사이버 공격자들 사이에서는 계속해서 연관성이 발견되고 있기 때문이다. 중국의 해킹 단체들끼리는 도구와 전술, 노하우 등을 나누는 정황이 자주 목격되고 있다. 그래서 정부 기관이 중앙에서 해킹 단체들을 통솔하고 있는 것 아니냐는 의혹도 이전부터 나올 정도다.
카멜갱이 사용하는 도구 중에 차이나초퍼(China Chopper)라는 것도 있다. 일종의 웹셸이자 백도어인데, 디트랙(DTrack)이라는 이름으로도 불린다. 문제는 이 도구가 중국의 또 다른 APT 조직인 APT41은 물론 북한의 안다리엘과도 관련이 있다는 것이다. “과거 중국과 북한의 해킹 조직 일부가 차이나초퍼를 사용했던 적이 있습니다. 그와 관련된 아티팩트들도 겹치는 것들이 여럿 나왔습니다. 다만 이것만 가지고 이러한 조직들 간에 연관성 여부를 확정 짓기는 힘듭니다.”
3줄 요약
1. 최근 중국의 해킹 조직 카멜갱의 움직임이 심상치 않음.
2. 랜섬웨어를 전략적으로 활용해 APT 활동을 숨기는 것으로 보임.
3. 게다가 이들이 사용하는 공격 도구나 전략이 다른 해킹 조직의 그것과 맞물릴 때가 많음.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
