[보안뉴스 문가용 기자] 음성을 변조하는 소프트웨어가 APT-C-23이라는 공격자들의 서버에서 발견됐다. 공격자들이 미래 피싱 공격에 활용하려고 준비 중에 있던 것으로 보인다고 보안 업체 카도 시큐리티(Cado Security)가 밝혔다.
[이미지 = pixabay]
APT-C-23은 주로 중동 지방에서 공격을 실시하는 단체로, 몰랫츠(Molerats)라는 공격 단체의 하위 그룹으로 여겨지고 있다. 팔레스타인에 근거지를 두고 있는 단체로 보인다고 카도 시큐리티는 설명한다. 피해자는 주로 팔레스타인과 이스라엘에서 나타나고 있지만 가끔 서방 정부들도 공격한다.
카도 시큐리티의 설명에 의하면 APT-C-23은 중간 정도의 기술력을 가진 단체라고 한다. 대단히 뛰어나지도 않지만 아마추어처럼 어설프지도 않다는 것이다. “주로 소셜 엔지니어링 기법을 사용해 피해자가 멀웨어를 다운로드 받도록 합니다. 과거에는 아름다운 여성으로 위장해 피해자들에게 접근하기도 했습니다.”
카도 시큐리티에 의하면 APT-C-23은 주로 염탐과 정보 수집을 목적으로 하고 있다고 한다. “자신들의 표적이 될 만한 인물이나 단체가 어떤 일을 꾸미고 있는지를 알아내고, 그것을 바탕으로 유리한 고지를 선점하는 것이 이들의 목표일 듯합니다.” 카도의 CTO인 크리스 도만(Chris Doman)의 설명이다.
이런 APT-C-23의 서버가 카도에 의해 발견된 것은 2020년의 일이다. 당시에는 공격 표적들에게 심을 멀웨어가 호스팅 되어 있었다. 공격자들이 서버 설정을 잘못해 두었기 때문에 일어난 일이며, 덕분에 이들의 멀웨어가 전부 공개되기도 했었다. 이들이 이러한 사실을 알아차렸을 때는 이미 각종 도구들이 보안 연구자들과 다른 해커들에게 노출된 다음이었다.
“공격자들이 멀웨어 호스팅과 명령 주입을 위해 공격용 서버를 마련하고 운영하는 건 흔한 일입니다. 공격자들에게 있어 치명적으로 중요한 요소죠. 그런 중요한 인프라를 이렇게 활짝 열어두는 일은 드문 일이긴 하지만요. 덕분에 이들에 대해 적잖이 파악할 수 있었습니다.” 도만의 설명이다.
APT-C-23의 모그룹인 몰랫츠는 다양한 멀웨어 패밀리들을 활용하는 것으로 유명하다. 하지만 어떤 멀웨어를 사용하든 자가 압축해제가 가능한 RAR 아카이브 파일 형태로 피해자를 감염시킨다는 건 비슷하다. “피해자가 악성 RAR 파일을 다운로드 받게 합니다. 이 아카이브가 압축해제 되면 악성 다운로더가 실행됩니다. 그리고 이 다운로더는 에이치웜(H-Worm)이라는 백도어를 설치합니다.”
이번에 발견된 APT-C-23의 도구들 중 가장 흥미로운 건 음성을 변조시키는 애플리케이션인 모프 복스 프로(Morph Vox Pro)다. 이 패키지에는 일련번호가 담긴 키와 음성 팩이 포함되어 있었다. “APT-C-23이 피싱 캠페인을 주로 실시하던 걸 생각했을 때, 이 음성 변조 도구의 존재 역시 피싱을 위한 것이라고 추측할 수 있습니다. 그럴듯한 오디오 메시지를 통해 표적들이 멀웨어를 설치하도록 유도하는 것이죠.”
그 외에도 카도 시큐리티 측은 서버 분석을 통해 공격자들이 피싱 이메일을 대량으로 발송하기도 한다는 걸 발견했다. 즉 이들이 표적 공격만 하는 건 아니라는 뜻이다. 취약한 라우터를 스캔해 찾아주는 줌아이(ZoomEye)라는 도구와, 마이크로소프트 계정들을 훔치는 피싱 페이지가 발굴되기도 했다.
3줄 요약
1. 중동의 한 공격 단체의 서버에서 음성 변조 도구 발견됨.
2. 음성 메시지 통한 피싱 공격 기획 중에 있었던 것으로 보임.
3. 그 외에도 라우터를 찾아주는 스캐너와, 마이크로소프트 크리덴셜 훔치기 위한 가짜 페이지도 발견됨.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>