이번에 발견된 캠페인은 전에 없던 규모 자랑해...진짜 표적 무엇인지 알 수 없어
[보안뉴스 문가용 기자] 중국의 사이버전 단체인 APT41이 세계 여러 기업과 조직들을 겨냥해 공격을 진행 중에 있다고 보안 업체 파이어아이(FireEye)가 보고서를 발표해 경고했다. APT41은 현재 시트릭스(Citrix), 시스코(Cisco) 조호 매니지엔진(Zoho ManageEngine)의 제품군들에서 발견된 취약점을 활발히 익스플로잇 하고 있다고 한다.
[이미지 = iclickart]
APT41은 최소 2012년부터 활동해온 것으로 알려진 단체다. 그 동안 지역과 종류에 상관없이 다양한 단체들을 공격했다. 사이버전 부대들이 주로 하는 ‘정찰’ 활동도 펼치지만, 금전적인 목표를 달성하기 위한 공격도 하는 것으로 알려져 있는데, 이 때문에 이들의 정확한 정체성(정체가 아니라)은 아직 밝혀지지 않고 있다.
파이어아이는 이번 보고서를 통해 “중국의 해커들이 1월 20일부터 3월 11일 사이에 75개의 파이어아이 고객사를 공격했다”고 밝히며, “은행, 국방, 건축, 정부, 기술, 의료, 고등교육, 제조, 법무, 언론, 에너지, 비영리, 제약, 석유, 부동산, 운송, 여행, 편의시설, 원거리 통신 등 다양한 분야에 걸쳐 이들의 흔적이 발견됐다”고 설명했다.
지역별로 나눴을 때 공격을 받은 국가는 미국, 캐나다, 스위스, 필리핀, 호주, 영국, UAE, 핀란드, 프랑스, 말레이시아, 덴마크, 멕시코, 카타르, 사우디아라비아, 스웨덴, 일본, 폴란드인 것으로 나타났다. 하지만 APT41이 특정 취약점을 스캔해 대규모 공격을 무작위로 감행한 것인지, 아니면 표적 공격을 하는 과정인지는 확실치 않다고 파이어아이는 덧붙였다.
APT41이 가장 적극적으로 익스플로잇 하고 있는 취약점은 CVE-2019-19781이다. 시트릭스의 ADC와 게이트웨이(Gateway) 제품들에서 발견된 것으로, 지난 12월에 공개된 바 있다. 이 취약점에 대한 실제 익스플로잇 공격이 처음으로 발견된 것은 1월이다.
파이어아이의 보고서에 의하면 APT41이 이 취약점을 익스플로잇 하기 시작한 건 지난 1월 20일부터라고 한다. 그리고 1월 23일부터 2월 1일 사이에는 잠시 휴식을 취했는데, 이는 중국의 가장 큰 명절인 춘절과 정확히 겹친다. 또한 2월 2일부터 19일 사이에도 휴식기가 있었는데, 이는 코로나 바이러스와 관련이 있는 것으로 추정된다.
그런 후 2월 21일 APT41의 활동 흔적을 파이어아이가 발견했다. 이번에는 시스코의 RV320과 RV325 라우터들을 공략하고 있었다. 이 장비들에서 발견된 취약점은 이미 2019년 1월부터 실제 해킹 공격에 악용되던 것이다.
그러더니 3월 8일, APT41은 CVE-2020-10189 취약점을 익스플로잇 하기 시작했다. 매니지엔진 데스크톱 센트럴(ManageEngine Desktop Central)에서 발견된 취약점으로, 3월 5일에 세부 사항이 공개된 바 있다. 즉 공개 3일 만에 익스플로잇을 시작한 것이다. 파이어아이는 “이 취약점을 중국의 또 다른 해킹 그룹인 윈티(Winnti)와 바륨(Barium)도 익스플로잇 한 것 같다”고 덧붙였다.
APT41의 또 다른 특징은 실제 공격을 진행할 때 널리 공개된 도구들만을 사용한다는 것이다. 특히 미터프리터(Meterpreter)와 코발트스트라이크(Cobalt Strike)가 애용되는 모습을 최근 들어 보이고 있다고 한다. 또한 충분한 정찰을 진행해 공격 가치가 있는 대상들을 선정한 후 고급 멀웨어를 심는, 꽤나 조심스러운 패턴으로 공격을 감행하는 것도 이들이 꾸준히 보여 온 모습이다. 그럼에도 파이어아이는 “최근 발견된 중국발 정찰 공격 중 가장 광범위한 캠페인”이라고 경고했다.
APT41은 2017년 넷사랑(NetSarang)의 소프트웨어를 표적으로 해킹 공격을 실시한 바 있다. 당시 넷사랑은 긴급 공지를 홈페이지에 띄우고, KISA 역시 긴급 수사에 들어갔었다.
이번 캠페인에 대한 파이어아이의 보고서 원문은 여기(https://www.fireeye.com/blog/threat-research/2020/03/apt41-initiates-global-intrusion-campaign-using-multiple-exploits.html)서 열람이 가능하다.
3줄 요약
1. 2017년 넷사랑 공격했던 중국의 APT41, 대규모 캠페인 벌이는 중.
2. 표적이 되고 있는 산업 분야도 다양, 국가도 다양. 손꼽히는 규모.
3. 시트릭스, 시스코, 매니지엔진 제품에서 발견되고 공개된 취약점 집중적으로 익스플로잇.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>