공격 그룹 스텔스 팰컨(Stealth Falcon) APT, 호모글리프(homoglyph) 및 모듈식 ‘맞춤형 공격’으로 여전히 위협적

요약 : IT 외신 블리핑 컴퓨터는 중동 정부기관을 대상으로 한 사이버 스파이 공격에 ‘데드글리프(Deadglyph)’라는 새로운 백도어 악성코드가 사용됐다고 전했다. 데드글리프 공격을 감행한 그룹은 아랍에미리트(UAE : United Arab Emirates) 국가 후원 해킹그룹으로 알려진 스텔스 팰컨(Stealth Falcon) APT와 관련 있는 것으로 밝혀졌다. 해당 공격을 분석한 ESET 연구원에 따르면, 호모글리프 공격(Homoglyph Aattack) 방식으로 VERSIONINFO 리소스에서 Microsoft 정보를 그대로 모방해 정품 Windows 파일로 위장해 이용자들을 속였다고 밝혔다. 또한, 모듈식 접근 방식을 사용해 ‘맞춤형 공격’으로 피해자에게 접근해 추가적인 악성 기능 수행이 가능했다고 덧붙였다. 다만, 초기 감염 수단까지는 아직 파악하지 못한 것으로 전해졌다.


[이미지=gettyimagesbank]

배경 : 스텔스 팰컨(Stealth Falcon) APT는 프로젝트 레이븐(Project Raven) 또는 프루티 아머(FruityArmor)로 불리우는 공격 그룹이다. 이들은 주로 사회운동가·언론인·반체제 인사들을 대상으로 약 10년간 지속적인 공격을 가해온 것으로 알려졌다. 데드글리프 공격은 그리스어와 키릴 문자를 사용한 VERSIONINFO 리소스를 이용한 것으로 드러났으며, ESET가 현재까지 획득한 모듈은 △프로세스 생성기 △정보 수집기 △파일 판독기로 그 외에 9개~14개에 달하는 또 다른 모듈이 있을 것으로 보고 있다.

말말말 : “우리가 데드글리프 악성코드 분석으로 일부 기능을 밝혀내긴 했지만 여전히 엄청난 위협 요소가 된다는 점은 분명합니다. 아직까지 초기 감염 수단에 대한 자세한 정보가 없기 때문에 현재로선 구체적인 방어 전략 제시는 불가능한 것이 사실입니다.” -ESET 연구원-
[이소미 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>