사이버 공간은 국제 정세를 고스란히 반영한다. 그래서 우크라이나는 항상 러시아에 노출되어 있다시피 하고, 최근 긴장감이 고조됨에 따라 그 공격의 수위는 더욱 높아지는 상황이다. 하이브리드 전술의 대가 러시아답다.
[보안뉴스 문가용 기자] 러시아의 APT 단체가 우크라이나를 겨냥한 악성 사이버 공격 행위의 수위를 높이고 있다. 최근 국제 정세의 가장 뜨거운 화젯거리인 러시아-우크라이나 사태와 관련이 있을 것으로 추정된다. 동유럽에 사업 행위를 위한 요소들을 마련한 조직들이라면 이 사태와 러시아 APT 단체의 활동에 관심을 가질 수밖에 없는 상황이다.
[이미지 = utoimage]
최근 IT 기업인 마이크로소프트(Microsoft), 시만텍(Symantec), 팔로알토 네트웍스(Palo Alto Networks)는 각각 보고서를 통해 액티늄(Actinium)이라고 하는 APT 단체의 활동 사항에 대해 발표했다. 참고로 액티늄은 가메레돈(Gameredon)이나 셕웜(Shuckworm)이라는 이름으로도 불리는 해킹 단체로, 러시아의 연방안보국(FSB)과 연관이 있는 것으로 알려져 있다.
이번 사이버 공격 캠페인은 우크라이나의 정부 기관들과 사설 조직들 다수를 겨냥한 채 진행됐다고 한다. 랜섬웨어는 물론 각종 파괴형 멀웨어들이 동원됐으며 그 목적도 다양해 파괴와 운영 마비는 물론 가짜뉴스 살포와 정보 유출 등으로 분류되고 있다. 시스코(Cisco)의 기술 전문가 닉 비아시니(Nick Biasini)는 “이전부터 우크라이나에서 발견된 사이버 공격과 비슷하다”고 설명한다.
“2017년 낫페트야(NotPetya) 사건 이후 저희는 우크라이나 내에 있거나 우크라이나와 연결된 시스템들에 한해서는 보다 더 엄중한 모니터링을 권장하고 있습니다. 네트워크 아키텍처 구성을 다시 해 고립시킨다든지, 모니터링이나 취약점 헌팅 활동을 강화한다든지 하는 식으로 말이죠. 고급 공격자들의 표적 공격에 노출되어 있다는 걸 전제하고 방어를 실시하는 것이죠.” 비아시니의 설명이다.
마이크로소프트의 분석
마이크로소프트에 의하면 “지금 액티늄은 우크라이나의 긴급 사건 대응 및 국가 안보와 관련된 시설들에 대한 표적 공격 및 침해 시도를 주로 하고 있다”고 한다. 액티늄의 공격은 2021년 10월 경부터 시작됐다고 하며, 각종 정부 기관에 더해 인권 및 구호 단체들까지도 공격의 대상이 되고 있다고 한다.
“액티늄은 주로 스피어피싱 이메일을 통해 원격 템플릿 주입 공격을 하고 있으며, 이로써 정적 탐지 도구들을 우회할 수 있게 됩니다. 한 문서를 통해 원격에 있는 다른 문서를 열도록 꼬드기는 수법으로, WHO와 같은 유명 단체들을 사칭해 피해자들을 속이고 있습니다.” 마이크로소프트의 설명이다.
이런 식으로 침투에 일단 성공한 공격자들의 경우, 액티늄은 목적에 맞게 여러 가지 악성 도구들을 추가로 설치해 자신들의 목적을 달성한다. 추가로 설치되는 멀웨어 중 하나는 테로도(Pterodo)로, 액티늄은 이를 통해 네트워크에 ‘인터랙티브 한 방식으로’ 접근할 수 있게 된다. 즉 그저 네트워크를 쳐다만 보는 게 아니라 실제 그 네트워크에 키보드를 연결해서 활용하는 것처럼 자유롭게 원하는 바를 실시할 수 있다는 것이다.
그 외에도 마이크로소프트는 데이터 유출용 악성 바이너리인 콰이어트시브(QuietSieve), 파워셸 명령 실행 도구이자 드로퍼인 파워펀치(PowerPunch) 등이 사용되는 것도 발견할 수 있었다고 밝혔다.
팔로알토와 시만텍의 분석
한편 팔로알토 네트웍스 측은 “최근 액티늄이 우크라이나에 있는 서양 정부 기관을 공격했다”고 주장했다. 이 공격은 1월 19일에 발생했다고 하며, 공격자들은 우크라이나의 구직 사이트에 올라온 각종 공고문에 제출하는 이력서에 멀웨어를 심는 방식으로 공격을 실시했다고 한다. 이런 식으로 멀웨어가 해당 서양 정부 기관에까지 흘러들어갔다고 하는데, 지난 2개월 간 공격자들이 이 공격에 활용하기 위해 만든 도메인을 136개 발견했다고 한다. 136개 중 131개가 러시아의 IP 주소와 연결되어 있었다.
팔로알토 측은 17개의 최초 멀웨어 다운로더들도 발견했다. 이는 최소 3개월 전부터 우크라이나를 겨냥한 공격들에서 사용된 것으로, 팔로알토 역시 마이크로소프트처럼 ‘템플릿 주입 전략’을 통해 유포된 것으로 보인다고 발표했다. 공격자들은 이 악성 템플릿을 정상적으로 보이도록 꾸며진 문서 속에 숨긴 채 퍼트리고 있다.
시만텍은 액티늄 활동과 관련된 침해지표와 전략 및 전술에 관한 세부 내용을 발표했다. 그러면서 위협 행위자들의 C&C 인프라에 관한 상세 내용도 발표했는데, 이 C&C 인프라 거의 대부분이 러시아에 호스팅 되어 있는 것으로 나타났다.
높아진 위험성
비아시니는 “우크라이나 지역에 IT 요소들을 마련해 운영하고 있다면 러시아 APT 행위를 유심히 지켜봐야 한다”고 경고한다. “동유럽 지역에서 활동하는 건 액티늄만이 아닙니다. 이런 저런 APT 단체들이 활동을 하기 때문에 범인을 지목하는 일도 힘이 들 정도입니다. 우크라이나를 공격하는 게 러시아라는 걸 공표할 수 없기 때문에 일부러 그런 식으로 운영하는 것으로 보입니다.”
실제로 시스코 측에서는 한 사건을 분석하다가 희한한 흔적을 발견할 수 있었다고 발표했다. “마치 최근 우크라이나에서 발생한 공격이 폴란드 해커와 우크라이너 해커들의 소행인 것처럼 보이게 만드는 흔적이었습니다. 하지만 이는 공격의 분석과 추적 행위를 더 혼란스럽게 만들려는 노력의 일환일 뿐입니다.”
3줄 요약
1. 러시아-우크라이나 위기 상황 고조되자 우크라이나에서의 사이버 공격 빈도 높아짐.
2. 공격자는 액티늄이라고 불리는 러시아의 APT 단체.
3. 현재 공격자들은 여러 가지 도구들과 ‘의도적 흔적 흘리기’ 수법 활용함으로써 추적 행위를 어렵게 만들고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 러시아의 APT 단체가 우크라이나를 겨냥한 악성 사이버 공격 행위의 수위를 높이고 있다. 최근 국제 정세의 가장 뜨거운 화젯거리인 러시아-우크라이나 사태와 관련이 있을 것으로 추정된다. 동유럽에 사업 행위를 위한 요소들을 마련한 조직들이라면 이 사태와 러시아 APT 단체의 활동에 관심을 가질 수밖에 없는 상황이다.
[이미지 = utoimage]
최근 IT 기업인 마이크로소프트(Microsoft), 시만텍(Symantec), 팔로알토 네트웍스(Palo Alto Networks)는 각각 보고서를 통해 액티늄(Actinium)이라고 하는 APT 단체의 활동 사항에 대해 발표했다. 참고로 액티늄은 가메레돈(Gameredon)이나 셕웜(Shuckworm)이라는 이름으로도 불리는 해킹 단체로, 러시아의 연방안보국(FSB)과 연관이 있는 것으로 알려져 있다.
이번 사이버 공격 캠페인은 우크라이나의 정부 기관들과 사설 조직들 다수를 겨냥한 채 진행됐다고 한다. 랜섬웨어는 물론 각종 파괴형 멀웨어들이 동원됐으며 그 목적도 다양해 파괴와 운영 마비는 물론 가짜뉴스 살포와 정보 유출 등으로 분류되고 있다. 시스코(Cisco)의 기술 전문가 닉 비아시니(Nick Biasini)는 “이전부터 우크라이나에서 발견된 사이버 공격과 비슷하다”고 설명한다.
“2017년 낫페트야(NotPetya) 사건 이후 저희는 우크라이나 내에 있거나 우크라이나와 연결된 시스템들에 한해서는 보다 더 엄중한 모니터링을 권장하고 있습니다. 네트워크 아키텍처 구성을 다시 해 고립시킨다든지, 모니터링이나 취약점 헌팅 활동을 강화한다든지 하는 식으로 말이죠. 고급 공격자들의 표적 공격에 노출되어 있다는 걸 전제하고 방어를 실시하는 것이죠.” 비아시니의 설명이다.
마이크로소프트의 분석
마이크로소프트에 의하면 “지금 액티늄은 우크라이나의 긴급 사건 대응 및 국가 안보와 관련된 시설들에 대한 표적 공격 및 침해 시도를 주로 하고 있다”고 한다. 액티늄의 공격은 2021년 10월 경부터 시작됐다고 하며, 각종 정부 기관에 더해 인권 및 구호 단체들까지도 공격의 대상이 되고 있다고 한다.
“액티늄은 주로 스피어피싱 이메일을 통해 원격 템플릿 주입 공격을 하고 있으며, 이로써 정적 탐지 도구들을 우회할 수 있게 됩니다. 한 문서를 통해 원격에 있는 다른 문서를 열도록 꼬드기는 수법으로, WHO와 같은 유명 단체들을 사칭해 피해자들을 속이고 있습니다.” 마이크로소프트의 설명이다.
이런 식으로 침투에 일단 성공한 공격자들의 경우, 액티늄은 목적에 맞게 여러 가지 악성 도구들을 추가로 설치해 자신들의 목적을 달성한다. 추가로 설치되는 멀웨어 중 하나는 테로도(Pterodo)로, 액티늄은 이를 통해 네트워크에 ‘인터랙티브 한 방식으로’ 접근할 수 있게 된다. 즉 그저 네트워크를 쳐다만 보는 게 아니라 실제 그 네트워크에 키보드를 연결해서 활용하는 것처럼 자유롭게 원하는 바를 실시할 수 있다는 것이다.
그 외에도 마이크로소프트는 데이터 유출용 악성 바이너리인 콰이어트시브(QuietSieve), 파워셸 명령 실행 도구이자 드로퍼인 파워펀치(PowerPunch) 등이 사용되는 것도 발견할 수 있었다고 밝혔다.
팔로알토와 시만텍의 분석
한편 팔로알토 네트웍스 측은 “최근 액티늄이 우크라이나에 있는 서양 정부 기관을 공격했다”고 주장했다. 이 공격은 1월 19일에 발생했다고 하며, 공격자들은 우크라이나의 구직 사이트에 올라온 각종 공고문에 제출하는 이력서에 멀웨어를 심는 방식으로 공격을 실시했다고 한다. 이런 식으로 멀웨어가 해당 서양 정부 기관에까지 흘러들어갔다고 하는데, 지난 2개월 간 공격자들이 이 공격에 활용하기 위해 만든 도메인을 136개 발견했다고 한다. 136개 중 131개가 러시아의 IP 주소와 연결되어 있었다.
팔로알토 측은 17개의 최초 멀웨어 다운로더들도 발견했다. 이는 최소 3개월 전부터 우크라이나를 겨냥한 공격들에서 사용된 것으로, 팔로알토 역시 마이크로소프트처럼 ‘템플릿 주입 전략’을 통해 유포된 것으로 보인다고 발표했다. 공격자들은 이 악성 템플릿을 정상적으로 보이도록 꾸며진 문서 속에 숨긴 채 퍼트리고 있다.
시만텍은 액티늄 활동과 관련된 침해지표와 전략 및 전술에 관한 세부 내용을 발표했다. 그러면서 위협 행위자들의 C&C 인프라에 관한 상세 내용도 발표했는데, 이 C&C 인프라 거의 대부분이 러시아에 호스팅 되어 있는 것으로 나타났다.
높아진 위험성
비아시니는 “우크라이나 지역에 IT 요소들을 마련해 운영하고 있다면 러시아 APT 행위를 유심히 지켜봐야 한다”고 경고한다. “동유럽 지역에서 활동하는 건 액티늄만이 아닙니다. 이런 저런 APT 단체들이 활동을 하기 때문에 범인을 지목하는 일도 힘이 들 정도입니다. 우크라이나를 공격하는 게 러시아라는 걸 공표할 수 없기 때문에 일부러 그런 식으로 운영하는 것으로 보입니다.”
실제로 시스코 측에서는 한 사건을 분석하다가 희한한 흔적을 발견할 수 있었다고 발표했다. “마치 최근 우크라이나에서 발생한 공격이 폴란드 해커와 우크라이너 해커들의 소행인 것처럼 보이게 만드는 흔적이었습니다. 하지만 이는 공격의 분석과 추적 행위를 더 혼란스럽게 만들려는 노력의 일환일 뿐입니다.”
3줄 요약
1. 러시아-우크라이나 위기 상황 고조되자 우크라이나에서의 사이버 공격 빈도 높아짐.
2. 공격자는 액티늄이라고 불리는 러시아의 APT 단체.
3. 현재 공격자들은 여러 가지 도구들과 ‘의도적 흔적 흘리기’ 수법 활용함으로써 추적 행위를 어렵게 만들고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
