노르웨이와 네덜란드에서 미국 국무부의 것으로 위장한 메일들 발견돼
[보안뉴스 문가용 기자] 최근 발견된 스피어 피싱 공격을 분석한 결과 한 동안 잠자고 있었던 러시아의 APT 그룹의 흔적이 나타났다. 코지 베어(Cozy Bear)가 다시 나타났다는 경고 메시지가 보안 업계 내에 확산되고 있다.
[이미지 = iclickart]
지난 주 사이버 보안 업체인 크라우드스트라이크(CrowdStrike)와 파이어아이(FireEye)는 거의 같은 시점에 “다양한 산업을 노리고 있는 대단위 피싱 캠페인에 주의하라”는 경고성 보고서를 발표했다. 그러면서 둘 다 “피싱 캠페인의 전략과 기술을 보건데, APT29라고도 알려진 러시아의 해킹 단체 코지 베어(Cozy Bear)가 의심된다”고 밝혔다.
코지 베어는 러시아의 첩보 기관과 관련이 깊은 것으로 알려진 해킹 단체로, 2016년 미국 대선 당시 민주당을 해킹한 혐의를 받고 있다. 당시 팬시 베어(Fancy Bear)라는 또 다른 러시아 해킹 단체도 협조한 것으로 보인다. 코지 베어는 지난 한 해 동안 모습을 거의 보이지 않고 있었다.
이 코지 베어가 최근 노르웨이와 네덜란드의 정부 기관과 미국의 싱크탱크 및 NGO 단체들을 공격했다고 두 보안 회사는 밝히고 있다. 크라우드스트라이크가 이 공격을 탐지한 건 11월 14일의 일이다. 공격에 사용된 피싱 이메일은 미국 국무부에서 온 것처럼 위장되어 있으며, 침해된 웹사이트로의 링크를 포함하고 있다. 이 이메일을 받은 사람들은 싱크탱크 조직, 사법 기관, 정부 기관, 사업 정보 서비스 조직 등에 소속되어 있었다. 하지만 크라우드스트라이크는 침해된 웹사이트에 대해서는 구체적인 언급을 하지 않았다.
메이어스는 공격의 전략이나 기술적 면모를 봤을 때 코지 베어가 떠오를 수밖에 없다고 설명했다. 이는 파이어아이도 똑같이 지적한 바다. 파이어아이는 11월 15일자로 APT29의 스피어 피싱 공격을 경고하는 트윗을 다량으로 올렸다. 그러면서 “공격자가 파워셸을 사용하고 있다”거나 “Malware.Binary.lnk와 Suspicious.Backdoor.BEACON이라는 두 가지 소프트웨어 툴을 활용 중”이라는 내용을 알리기도 했다.
파이어아이는 “이 캠페인 공격이 20개가 넘는 파이어아이 고객사들을 겨냥했다”며 “국방, 사법 기관, 지방 정부 기관, 미디어, 군사, 제약, 싱크탱크, 운송, 공공 기관 등 다양한 곳에서 공격 시도가 탐지됐다”고 밝혔다. 또한 공격이 펼쳐진 지역도 광범위하다고 한다. 그러면서 “2016년 코지 베어가 했던 공격과 상당 부분 정확하게 일치한다”고도 설명했다.
Malware.Binary.lnk는 악성 드로퍼 파일로 집 압축 아카이브 내에 숨어 있으며, 이 집 파일은 침해된 웹사이트를 피해자가 방문하면서 다운로드 된다고 한다. 페이로드는 비컨(Beacon) 백도어로, 공격자의 C&C 서버와 통신을 주고받는 기능을 담당한다. 코지 베어가 비컨을 사용하는 건 새로운 일이긴 하지만, 그 외 모든 면에서 코지 베어의 느낌이 물씬 풍긴다고 말한다.
파이어아이는 외신과의 인터뷰에서 “공격자들이 이전 공격에서와 정확히 같은 공격 기법과 전략을 활용했다는 게 조금 이상하긴 하다”고 설명했다. 국가의 지원을 받는 해커는 자원이 풍부해 충분히 새로운 걸 개발할 수 있고, 그러는 편이 추적을 따돌리기에도 용이하기 때문이다.
파이어아이와 크라우드스트라이크는 “코지 베어가 공격의 배후에 있다는 증거를 더 수집하고 있다”며 “공격자의 정체를 더 확실하게 밝힐 수 있을 때까지 조사를 계속할 것”이라고 밝혔다.
3줄 요약
1. 최근 노르웨이와 네덜란드를 중심으로 스피어 피싱 캠페인 펼쳐짐.
2. 두 보안 업체가 이를 따로 탐지해 분석한 결과 러시아의 코지 베어가 똑같이 지목됨.
3. 2016년 미국 대선 이후 이렇다 할 활동 없었던 코지 베어, 다시 활동 시작한 듯.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>