제브로시와 캐논이라는 멀웨어 애용하는 듯...변종 많다는 것이 그 증거
[보안뉴스 문가용 기자] 러시아의 APT 그룹인 소파시(Sofacy)가 다시 한 번 보안 업체에 거론됐다. 무려 4개 대륙에서 소파시의 멀웨어가 발견되었기 때문이다. 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 이에 대한 내용을 공개했다.
[이미지 = iclickart]
소파시는 APT28, 팬시 베어(Fancy Bear), 폰스톰(Pawn Storm), 세드닛(Sednit), 스트론티움(Strontium)이라는 이름으로 알려져 있는 러시아 정부 지원 해킹 단체로, 주로 우크라이나와 NATO 회원국을 공격해왔다. 또한 2016년 미국 대선 당시에도 여러 가지 해킹 사건을 저지른 것으로 알려져 있다.
지난 달 팔로알토 네트웍스는 소파시가 새로운 트로이목마를 사용하기 시작했다고 발표한 바 있다. 이름은 캐논(Cannon)으로, 주로 여러 나라의 정부 기관에서 발견됐다는 내용도 포함되어 있었다. 이번 발표는 이러한 소파시의 공격 활동에 대한 것으로, 공격 기간이 10월 중순부터 11월 중순까지였다는 점과, 캐논은 물론 이전에 소파시가 사용했던 제브로시(Zebrocy)라는 백도어가 활용되었다는 점이 추가됐다.
소파시가 현재 여러 나라에서 진행시키고 있는 모든 공격들에는 한 가지 공통점이 있다. 바로 악성 문서의 저자가 조온(Joohn)이라는 것이다. 팔로알토 측은 ‘조온’이 생성한 악성 문서를 총 9개 발견했다. 이 문건들과 관련된 공격을 추적, 분석하며 “스피어피싱이 문서 배포에 활용됐다”는 것 또한 알아낼 수 있었다.
이 악성 문건들은 워드의 원격 템플릿 기능을 남용해 1단계 C&C 서버로부터 악성 매크로를 회수해 실시하며, 이를 통해 첫 페이로드를 로딩 및 실시한다. 물론 문서에 이미지를 띄워 사용자들이 매크로를 켜도록 유도하기도 한다.
문제의 워드 문서는 세계 곳곳으로 뿌려졌다. 북미에 있는 한 외교 관련 조직, 유럽의 여러 외교 관련 조직, 이전 소비에트 연방 국가들의 정부 기관들 등이 대표적이다. 또한 북미, 호주, 유럽의 여러 지방 사법 기관들도 이 공격에 당했으며, NGO, 마케팅 회사, 의료 단체들도 일부 휘말려들었다.
10월의 공격에 있어서, 소파시는 파일 이름을 교묘히 활용해 사용자들의 실수를 유발했다. 브렉시트와 라이온 에어 추락사고, 팔레스타인의 로켓 공격 등과 같이 화제가 되고 있는 이슈를 활용했다. 11월에는 보다 개별화되고 맞춤형으로 제작된 문건들이 사용됐다.
그 외에 소파시가 사용한 원격 템플릿의 제작자 이름도 같았다. 이러한 힌트를 가지고 추적한 결과 팔로알토는 원격 템플릿을 호스팅하고 있는 서버들에 1단계 페이로드 역시 호스팅되어 있다는 걸 파악할 수 있었다. 그러나 모든 C&C 서버들이 IP 주소를 기반으로 하고 있었기 때문에 이전 제브로시 멀웨어나 소파시의 공격 인프라와의 직접적인 연관성을 찾아내기는 어려웠다고 한다.
9개 악성 문건 중 네 개는 9월에 제작되고 10월에 수정된 것으로 나타났다. 그리고 네 개 모두 수정 후 약 2주가 지난 시점부터 공격에 활용되기 시작했다. 이는 공격에 대한 준비가 다 되지 않은 상태에서 문건이 제작되었다는 뜻이 될 수도 있고, 공격자들이 알맞은 시기를 기다렸다고도 볼 수 있다.
멀웨어의 측면에서는 제브로시와 캐논의 여러 가지 버전들이 발견됐다. 캐논 변종들의 경우 델파이로 작성되었고, 제브로시 변종들은 C#과 VB.NET으로 작성됐다고 한다. “소파시 그룹은 항상 비슷한 전략과 전술을 사용해 세계 조직들을 공격합니다. 특히 간단한 다운로더를 매우 선호하는 걸 알 수 있습니다. 제브로시가 대표적인 예죠. 그래서 이 제브로시의 변종이 끊임없이 이들의 손에서 나오는 거라고 볼 수 있습니다. 캐논도 변종이 나온 걸로 봐서, 어느 정도 경계를 하고 있어야 할 듯 합니다.”
3줄 요약
1. 러시아의 소파시, 현재 네 개 대륙에서 활발한 공격 진행 중.
2. 북미, 유럽, 아시아, 호주에서 주요 정부 기관 및 관련 단체들이 당했음.
3. 스피어피싱 통해 악성 워드 문서 배포하고, 매크로 통해 악성 페이로드 다운로드 시작함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>