3줄 요약
1. 10년 전 사라진 줄 알았던 고급 APT 조직의 활동이 10년 만에 다시 발견됨.
2. 이 조직의 이름은 카레토 혹은 마스크로, 최근에는 남미 지역을 공략하고 있었음.
3. 그 누구도 사용하지 않는 독특한 해킹 기법을 고안해 사용할 정도로 강력하고 독특한 그룹.
[보안뉴스 문가용 기자] 보안 업체 카스퍼스키(Kaspersky)가 오랜만에 활동을 시작한 APT 조직을 하나 발견했다. 카스퍼스키가 이 조직의 활동을 목격한 건 10년 만이라고 한다. 그 10년 동안 이들이 긴 겨울잠을 자고 있었던 것인지, 아니면 너무 은밀히 움직여 포착되지 않은 것인지는 아직 명확히 알 수 없다. 이렇든 저렇든 이들의 이름이 다시 보안 전문가들 사이에서 화제가 되기 시작한 건 분명하다. 이 조직의 이름은 카레토(Careto) 혹은 마스크(The Mask)이다.
[이미지 = gettyimagesbank]
현재까지 알려진 바에 의하면 카레토는 최소 2007년부터 활동을 해온 고도의 실력자들이다. 주로 정부, 외교, 학술 기관 등을 노려왔다. 제로데이 취약점을 익스플로잇 함으로써 복잡한 악성 코드를 심기도 하는 등 기술적으로도 남다른 행보를 보였다. 이런 카레토를 카스퍼스키가 마지막으로 추적한 것은 2014년 초의 일이며, 그 이후부터는 한 번도 발견한 적이 없다고 한다.
10년 만에
카레타라는 조직이 슬슬 잊혀질 때 즈음, 카스퍼스키는 한 사이버 보안 사건과 조우하게 됐다. 그 중 하나는 2022년에 발생한 사건이었다. 남미의 한 조직을 겨냥해서 시행된 이 공격은 2014년의 기억을 떠올리기에 충분할 정도로 카레토와 닮아 있었다.(아직 카레토의 부활을 확신한 건 아니다.) “최초 침투 방법에 대해서는 알아내지 못했습니다. 하지만 침투 후 공격자들은 피해자 조직의 엠데몬(MDaemon) 이메일 서버에 접근했는데, 월드클라이언트(WorldClient)라는 엠데몬 웹메일의 구성 요소를 이용하는 독특한 모습을 보여주었습니다.”
그 후 공격자는 피해자 조직에서부터 정보를 수집했다. 최초 침투 경로가 된 장비에서만이 아니라 횡적 움직임을 통해 같은 네트워크 내 다른 시스템으로도 들어가 정보를 빼돌렸다. “공격자는 다른 기기로 옮겨가기 위해 네 가지 파일을 업로드한 후 연쇄적으로 활용해 공격을 이어갔습니다. 그리고 악성 DLL을 여러 프로세스에 주입함으로써 공격 지속성을 확보하기도 했습니다.”
그런데 이와 비슷한 공격이 2024년에도 있었다. 두 개의 사건은 매우 닮아 있었다. 게다가 이 공격들에서 사용된 악성 페이로드가, 이전까지 한 번도 발견되거나 보고된 적이 없는 새 임플란트라는 걸 알아낼 수 있었다. 카스퍼스키의 연구원들은 이를 페이크HMP(FakeHMP)라고 부르기 시작했다. “피해자의 파일 시스템에서 파일을 검색하고, 키로깅을 실시하고, 스크린샷을 캡처하고, 감염된 기기에 추가 페이로드를 설치하는 등의 기능을 수행할 수 있는 멀웨어였습니다. 공격자는 페이크HMP 말고도 또 다른 정보 탈취 도구들을 사용하기도 했습니다.”
이렇게 2022년 사건과 2024년 사건을 조사하다가, 2022년에 감염됐던 피해 조직이 2019년에도 고차원적인 공격에 당한 적이 있다는 것을 알게 됐다. 이 2019년 공격을 실시한 공격자들이 사용한 악성 프레임워크도 발견됐는데, 바로 카레토2(Careto2)와 고레토(Goreto)였다. “2019년 공격에서 공격자들은 2022년과 마찬가지로 작업 스케줄러를 활용해 악성 파일을 실행했으며, 이를 통해 프레임워크가 감염된 기기에 지속적으로 남아 있을 수 있도록 꾀했습니다.”
카레토2 프레임워크는 특정 파일 시스템에 저장된 플러그인을 읽도록 설계된 것으로 분석됐다. “각 플러그인의 이름은 DLL의 본래 이름을 해싱 처리해서 나온 것이라는 걸 파악했고, 이를 통해 플러그인 이름을 역으로 추측해낼 수 있었습니다.” 고레토는 고 언어로 코딩된 도구 세트였다. 구글 드라이브 스토리지에 주기적으로 접속해 악성 명령을 가져오는 행동 패턴을 보였다고 한다.
먼 과거와 가까운 과거
2019~2024년 사이에 일어난 사건들과 2007~2014년 사이에 일어난 사건들 사이에는 대표적으로 다음과 같은 유사성이 있었다고 카스퍼스키는 정리한다.
1) 2022년에 감염된 조직(즉, 이번 조사의 시작이 된 조직)은 2019년에 카레토2에 감염됐다. 그런데 이 조직은 2007년과 2013년 사이에도 카레토라는 조직의 악성 코드에 의해 피해를 입었던 경험이 있었다.
2) 2019년의 공격과 2022년의 공격 모두에서 ~dfae01202c5f0dba42.cmd라는 이름의 악성 파일이 발견됐다. 기능도 같았다.
3) 데이터 유출을 위해 클라우드 스토리지를 사용했다거나, 시스템 프로세스를 적극적으로 활용하는 등 전략적인 측면에서도 닮은 점이 많았다.
“정말 오랜만에 만나는 해킹 그룹입니다. 10년 만에 처음 그 뒤를 쫓게 되었는데, 카레토는 여전히 카레토였습니다. 강력한 예전 모습 그대로를 유지하고 있더군요. 엠데몬 이메일 서버를 활용해 공격 지속성을 확보하고, 다른 소프트웨어의 정상 드라이버를 활용해 악성 임플란트를 심는 등 아무도 사용하지 않는 이들만의 공격 기법을 선보인 것도 카레토 다웠습니다. 이런 고급 공격을 고안하는 데에 얼마나 많은 시간이 걸리는지는 모르고, 그러므로 다음에 카레토가 또 나타날 때가 언제즘이 될지 예상할 수 없습니다만, 그들이 그때에도 강력할 것이라는 건 벌써 알 수 있습니다.”
10년 만에 뒤를 밟힌 APT 그룹 카레토에 관한 보다 상세한 정보와 분석 과정은 다음 주 목요일(26일)에 발간되는 보안뉴스 프리미엄 리포트를 통해 공개될 예정입니다.
[국제부 문가용 기자(globoan@boannews.com)]
1. 10년 전 사라진 줄 알았던 고급 APT 조직의 활동이 10년 만에 다시 발견됨.
2. 이 조직의 이름은 카레토 혹은 마스크로, 최근에는 남미 지역을 공략하고 있었음.
3. 그 누구도 사용하지 않는 독특한 해킹 기법을 고안해 사용할 정도로 강력하고 독특한 그룹.
[보안뉴스 문가용 기자] 보안 업체 카스퍼스키(Kaspersky)가 오랜만에 활동을 시작한 APT 조직을 하나 발견했다. 카스퍼스키가 이 조직의 활동을 목격한 건 10년 만이라고 한다. 그 10년 동안 이들이 긴 겨울잠을 자고 있었던 것인지, 아니면 너무 은밀히 움직여 포착되지 않은 것인지는 아직 명확히 알 수 없다. 이렇든 저렇든 이들의 이름이 다시 보안 전문가들 사이에서 화제가 되기 시작한 건 분명하다. 이 조직의 이름은 카레토(Careto) 혹은 마스크(The Mask)이다.
[이미지 = gettyimagesbank]
현재까지 알려진 바에 의하면 카레토는 최소 2007년부터 활동을 해온 고도의 실력자들이다. 주로 정부, 외교, 학술 기관 등을 노려왔다. 제로데이 취약점을 익스플로잇 함으로써 복잡한 악성 코드를 심기도 하는 등 기술적으로도 남다른 행보를 보였다. 이런 카레토를 카스퍼스키가 마지막으로 추적한 것은 2014년 초의 일이며, 그 이후부터는 한 번도 발견한 적이 없다고 한다.
10년 만에
카레타라는 조직이 슬슬 잊혀질 때 즈음, 카스퍼스키는 한 사이버 보안 사건과 조우하게 됐다. 그 중 하나는 2022년에 발생한 사건이었다. 남미의 한 조직을 겨냥해서 시행된 이 공격은 2014년의 기억을 떠올리기에 충분할 정도로 카레토와 닮아 있었다.(아직 카레토의 부활을 확신한 건 아니다.) “최초 침투 방법에 대해서는 알아내지 못했습니다. 하지만 침투 후 공격자들은 피해자 조직의 엠데몬(MDaemon) 이메일 서버에 접근했는데, 월드클라이언트(WorldClient)라는 엠데몬 웹메일의 구성 요소를 이용하는 독특한 모습을 보여주었습니다.”
그 후 공격자는 피해자 조직에서부터 정보를 수집했다. 최초 침투 경로가 된 장비에서만이 아니라 횡적 움직임을 통해 같은 네트워크 내 다른 시스템으로도 들어가 정보를 빼돌렸다. “공격자는 다른 기기로 옮겨가기 위해 네 가지 파일을 업로드한 후 연쇄적으로 활용해 공격을 이어갔습니다. 그리고 악성 DLL을 여러 프로세스에 주입함으로써 공격 지속성을 확보하기도 했습니다.”
그런데 이와 비슷한 공격이 2024년에도 있었다. 두 개의 사건은 매우 닮아 있었다. 게다가 이 공격들에서 사용된 악성 페이로드가, 이전까지 한 번도 발견되거나 보고된 적이 없는 새 임플란트라는 걸 알아낼 수 있었다. 카스퍼스키의 연구원들은 이를 페이크HMP(FakeHMP)라고 부르기 시작했다. “피해자의 파일 시스템에서 파일을 검색하고, 키로깅을 실시하고, 스크린샷을 캡처하고, 감염된 기기에 추가 페이로드를 설치하는 등의 기능을 수행할 수 있는 멀웨어였습니다. 공격자는 페이크HMP 말고도 또 다른 정보 탈취 도구들을 사용하기도 했습니다.”
이렇게 2022년 사건과 2024년 사건을 조사하다가, 2022년에 감염됐던 피해 조직이 2019년에도 고차원적인 공격에 당한 적이 있다는 것을 알게 됐다. 이 2019년 공격을 실시한 공격자들이 사용한 악성 프레임워크도 발견됐는데, 바로 카레토2(Careto2)와 고레토(Goreto)였다. “2019년 공격에서 공격자들은 2022년과 마찬가지로 작업 스케줄러를 활용해 악성 파일을 실행했으며, 이를 통해 프레임워크가 감염된 기기에 지속적으로 남아 있을 수 있도록 꾀했습니다.”
카레토2 프레임워크는 특정 파일 시스템에 저장된 플러그인을 읽도록 설계된 것으로 분석됐다. “각 플러그인의 이름은 DLL의 본래 이름을 해싱 처리해서 나온 것이라는 걸 파악했고, 이를 통해 플러그인 이름을 역으로 추측해낼 수 있었습니다.” 고레토는 고 언어로 코딩된 도구 세트였다. 구글 드라이브 스토리지에 주기적으로 접속해 악성 명령을 가져오는 행동 패턴을 보였다고 한다.
먼 과거와 가까운 과거
2019~2024년 사이에 일어난 사건들과 2007~2014년 사이에 일어난 사건들 사이에는 대표적으로 다음과 같은 유사성이 있었다고 카스퍼스키는 정리한다.
1) 2022년에 감염된 조직(즉, 이번 조사의 시작이 된 조직)은 2019년에 카레토2에 감염됐다. 그런데 이 조직은 2007년과 2013년 사이에도 카레토라는 조직의 악성 코드에 의해 피해를 입었던 경험이 있었다.
2) 2019년의 공격과 2022년의 공격 모두에서 ~dfae01202c5f0dba42.cmd라는 이름의 악성 파일이 발견됐다. 기능도 같았다.
3) 데이터 유출을 위해 클라우드 스토리지를 사용했다거나, 시스템 프로세스를 적극적으로 활용하는 등 전략적인 측면에서도 닮은 점이 많았다.
“정말 오랜만에 만나는 해킹 그룹입니다. 10년 만에 처음 그 뒤를 쫓게 되었는데, 카레토는 여전히 카레토였습니다. 강력한 예전 모습 그대로를 유지하고 있더군요. 엠데몬 이메일 서버를 활용해 공격 지속성을 확보하고, 다른 소프트웨어의 정상 드라이버를 활용해 악성 임플란트를 심는 등 아무도 사용하지 않는 이들만의 공격 기법을 선보인 것도 카레토 다웠습니다. 이런 고급 공격을 고안하는 데에 얼마나 많은 시간이 걸리는지는 모르고, 그러므로 다음에 카레토가 또 나타날 때가 언제즘이 될지 예상할 수 없습니다만, 그들이 그때에도 강력할 것이라는 건 벌써 알 수 있습니다.”
10년 만에 뒤를 밟힌 APT 그룹 카레토에 관한 보다 상세한 정보와 분석 과정은 다음 주 목요일(26일)에 발간되는 보안뉴스 프리미엄 리포트를 통해 공개될 예정입니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
