기업 침투를 전문으로 하는 파이오니어 키튼...침투 경로를 판매하기도 해
이란과 직접 관련 없지만 정부에 우호적인 해커...차밍 키튼의 하위 그룹일 수도

[보안뉴스 문가용 기자] 이란 정부와 관련이 높은 것으로 보이는 APT 단체 파이오니어 키튼(Pioneer Kitten)이 해커 포럼에서 기업 네트워크 출입을 가능하게 해주는 크리덴셜을 판매하고 있는 것이 적발됐다. 자신들이 침투하는 데 성공한 조직들을 다른 해커들도 공격할 수 있도록 중간 매개체가 되고 있는 꼴이다.


[이미지 = utoimage]

파이오니어 키튼은 원래부터 기업 네트워크 침투에 특화되어 있는 해킹 단체다. 특히 오픈소스 도구들을 사용해 공공 인터넷에 노출된 원격 서비스들을 침해하는 데 능숙하다. VPN 솔루션들을 해킹하거나 전 세계 여러 기업들의 네트워크에 백도어를 심어놓는 활동을 하곤 했다. 보안 전문 업체 크라우드스트라이크(CrowdStrike)에 의하면 파이오니어 키튼과 연관성이 깊어 보이는 해커 한 명이 지난 7월 이러한 침해 통로 자체를 판매하기 시작했다고 한다.

크라우드스트라이크는 이 발견에 대해 “파이오니어 키튼이 새로운 수익 창구를 모색 중에 있는 것으로 보인다”고 분석했다. 그리고 “그것이 이란 정부를 지원한다는 커다란 목적과 분리되어 있지는 않을 것 같다”고 덧붙였다. 2017년부터 활동한 것으로 보이는 파이오니어 키튼은 이란 정부와 관련이 있는 것으로 의심되고 있긴 하지만 직접 명령을 하달 받는 등의 관계에 있지는 않은 것 같다는 게 보안 업계의 중론이다.

파이오니어 키튼의 주요 공격 방식은 SSH 터널링(SSH tunneling)이다. 특히 오픈소스 도구인 엔지록(Ngrok)과 자신들만의 공격 도구인 SSH미니언(SSHMinion)이 주 무기다. 이 도구들을 통해 피해 시스템에 공격자들이 직접적인 영향을 미친다. 여러 취약점들 중 특히 CVE-2019-11510, CVE-2019-19781, CVE-2020-5902를 즐겨 익스플로잇 한다. 전부 VPN 및 네트워킹과 관련된 취약점들이다.

솔루션 별로 봤을 때 가장 빈번하게 공격을 받는 건 펄스시큐어(Pulse Secure)의 커넥트(Connect), 시트릭스(Citrix) 서버와 게이트웨이들, F5 네트웍스(F5 Networks)의 빅아이피(BIG-IP)라고 한다. 피해자들은 주로 북미와 이스라엘 지역에서 나오고 있고, 대부분 이란 정부가 관심을 가질 만한 곳들이라고 한다. 그러나 정부 기관 외에 기술, 의료, 항공, 미디어, 학술, 엔지니어링, 컨설팅, 화학, 생산, 금융, 보험, 도소매 등 다양한 산업군을 노린다.

이란의 공격자들은 중국이나 러시아의 해커들처럼 악명이 세계적으로 드높지는 않지만, 최근 몇 년 동안 공격의 수위와 활동력을 높이고 있는 중이다. 이란 해커들 중 가장 유명한 건 차밍 키튼(Charming Kitten)으로 APT35나 에이젝스(Ajax), 포스포러스(Phosphorus)라고도 불린다. 나머지 이란 해킹 그룹들도 비슷한 이름으로 불리는데, 그건 차밍 키튼의 하위 그룹이나 스핀오프 등으로 보이기 때문이다. 이 차밍 키튼은 최근 링크드인에서 새로운 캠페인을 시작한 바 있다.

차밍 키튼은 2014년부터 활동해 온 것으로 보이며, 주로 정치적 목적을 가진 소셜 엔지니어링 공격을 실시한다. 즉 표적 공격에 일가견이 있으며, 그 실력이 해마다 발전하고 있다. 그 동안 인권 단체나 유명인들을 표적으로 삼았는데, 2020년 트럼프 대선 캠페인과 관련된 이메일 계정들을 노렸다는 소식도 있다.

3줄 요약
1. 중국과 러시아의 아성에는 미치지 못하지만 바짝 추격 중인 이란 해커들.
2. 최근 파이오니어 키튼이라는 해커, 다크웹에서 장사하는 것 발견됨.
3. 이란 정부와 상관이 있는 공격일 가능성 높다고 보는 게 자연스러움.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>