총 77개 이상의 국가에서 메시에이전트 서버 발견...독일, 미국, 프랑스 순으로 많아
[보안뉴스 김영명 기자] ‘어웨이큰리코(Awaken Likho)’라는 APT 해킹그룹이 올해 6월부터 8월까지 러시아 정부기관과 산업체를 주요 표적으로 삼아 새로운 공격 캠페인을 벌인 것이 발견됐다. 이번에 발견된 어웨이큰리코 해킹그룹의 공격 캠페인은 이전에 사용하던 UltraVNC 모듈 대신, 합법적인 MeshCentral 플랫폼의 메시에이전트(MeshAgent)를 활용해 원격으로 러시아 정부와 그 하청업체, 그리고 산업체의 시스템에 접근한 것으로 밝혀졌다. 카스퍼스키(Kaspersky)는 최근 보고서를 통해 이와 같은 사실을 공개했다.
▲MeshCentral 플랫폼 로그인 화면[자료=에이아이스페라]
에이아이스페라 위협분석팀은 러시아 정부를 공격하는 어웨이큰리코의 공격 방식과 위협 헌팅 도구를 활용한 악성코드 감염 장치 탐지방법을 상세하게 설명했다. 이번 공격의 주된 내용은 피싱 이메일 내 악성코드 URL로 설치된 새로운 임플란트에 있다.
어웨이큰리코 해킹그룹은 러시아 정부와 산업체를 공격 캠페인에서 피싱 이메일에 악성 URL을 삽입해 배포하고, 피해자의 기기에 이제껏 단 한 번도 발견되지 않은 새로운 임플란트를 설치했다. 이전 캠페인에서는 Go 언어로 개발된 GoLang 드로퍼를 사용해 악성코드를 전파했으나 이번에는 그러한 증거가 발견되지 않았다. 보고서에 따르면 새로운 임플란트는 UPX를 사용해 압축되어 7-Zip을 사용해 만들어진 자가 추출형 아카이브(SFX)로 배포된 것으로 드러났다..
새로운 임플란트는 합법적으로 주로 사용되는 시스템 서비스로 위장한 다섯 개의 파일로 구성되어 있으며, 그 중 일부는 사용자를 혼란시키기 위한 것으로 실제로는 아무런 기능이 없는 파일이었다. 주요 파일로는 오토잇(AutoIt) 스크립트를 통해 실행되는 마이크로소프트 스토어 실행파일이었다. 해당 스크립트는 다시 네트워크 드라이버 실행파일 등을 이용해 시스템의 지속성을 확보했다.
합법적 원격 도구 ‘메시에이전트’ 악용한 어웨이큰리코
네트워크 드라이버 실행파일은 원격 도구인 메시에이전트(MeshAgent)로, 어웨이큰리코 해킹그룹은 메시에이전트를 통해 지속적으로 감염된 시스템과의 원격 연결을 유지하면서 공격을 수행한 것으로 밝혀졌다. 이 과정에서 공격자는 스케줄된 작업을 생성해 악성 활동의 흔적을 지우고 메시에이전트 실행을 지속했다.
▲어웨이큰리코가 러시아 공격에 사용한 임플란트 메타데이터[자료=카스퍼스키]
어웨이큰리코 해킹그룹이 러시아 공격 캠페인에 사용한 메시에이전트는 원격 컴퓨터 관리 및 모니터링 기능을 제공해 주로 IT 관리자가 네트워크에 있는 여러 컴퓨터를 원격으로 제어하고 지원하기 위해 사용하는 도구다. 메시에이전트는 합법적으로도 사용되는 원격 도구이지만, 해커에 의해 C&C(명령제어) 서버 목적으로 사용되면서 사이버 보안에서 주요한 위협 요소로 여겨진다.
외부에 노출된 3,000개 이상의 메시에이전트 서버 위협 헌팅
다음은 위협헌팅 도구 크리미널 IP(Criminal IP)에 MeshAgent가 설치된 채 외부에 노출된 장치를 검색했을 때 10월 23일을 기준으로 총 3,083건의 IP 주소에 메시에이전트가 검색됐다.
3,000개 이상의 메시에이전트가 모두 악의적으로 설치된 것은 아니다. 하지만, 최근 많은 공격에서 메시에이전트 소프트웨어가 설치된 서버가 C&C 서버로 사용되거나, 이번 어웨이큰리코 해킹그룹의 공격처럼 APT 공격에 악용되는 경우도 있다. 따라서 발견된 서버 중에는 해커에 의해 감염된 서버 역시 포함되어 있을 것으로 추정된다.
▲크리미널 IP의 Element Analysis에서 확인된 메시에이전트 서버 국가 통계[자료=에이아이스페라]
크리미널 IP를 통해 메시에이전트가 설치된 채 외부에 노출된 서버의 국가 통계를 확인했을 때는 총 77개 이상의 국가에서 메시에이전트 서버가 발견됐다. 여러 국가 가운데 독일이 844개로 가장 많은 메시에이전트 서버를 보유했다. 그 다음으로 미국이 797개, 프랑스가 135개로 뒤를 이었다.
에이아이스페라 보안팀은 “어웨이큰리코 해킹그룹은 메시에이전트를 악용, 특정 국가나 기관을 목표로 지능적으로 공격했다”며 “이렇게 특정 캠페인에서 원격 소프트웨어 도구가 악용되는 경우도 있지만, 일반적으로 널리 퍼져있는 공격 방식에는 원격관리 소프트웨어를 감염시켜 C&C 서버로 악용하는 경우가 많다”고 말했다.
이어 “따라서 기업과 기관에서는 공격을 차단하기 위해 C&C 서버의 IP 주소를 방화벽이나 기존 보안 솔루션에 연동해 해당 IP 주소의 접근을 탐지하고 차단한다”면서도 “아직 블랙리스트에 등록되어 있지 않은 새로 메시에이전트 등에 감염된 C&C IP 주소의 경우, 크리미널 IP를 활용하면 API 연동으로 신선도 높은 악성 IP 주소 탐지 데이터를 활용할 수 있다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>