가짜 e라이브러리 도메인 통해 악성코드 유포
클라우드 인프라 활용해 탐지 회피... C2 서버까지 정교하게 설계
[보안뉴스 여이레 기자] 카스퍼스키(지사장 이효은)는 7일 러시아 주요 대학과 연구기관 소속 연구자를 노린 새로운 표적형 지능형 지속 공격(APT) 공격을 포착했다고 밝혔다.
[자료: 카스퍼스키]
카스퍼스키 글로벌연구분석팀(GReAT)은 러시아 학술 및 연구기관의 정치학자와 국제 관계 전문가, 경제학자 등을 대상으로 ‘포럼트롤’(ForumTroll) 조직이 가짜 표절 보고서를 미끼로 한 피싱 공격을 수행한 것을 적발했다.
카스퍼스키는 지난해 10월 ‘시큐리티 애널리스트 서밋(SAS) 2025’ 직전 포럼트롤의 새로운 공격 정황을 탐지했다. 조직 단위 네트워크 침투에서 벗어나 개별 연구자를 직접 노리는 방식으로 방향을 바꾼 것이 특징이다.
포럼트롤은 지난해 3월 처음 탐지된 이후 꾸준히 활동을 이어온 것으로 분석됐다. 당시 카스퍼스키는 포럼트롤이 사용한 크롬 브라우저 제로데이 취약점(CVE-2025-2783)을 최초 보고한 바 있다. 또 이 공격에 사용된 스파이웨어 ‘단테’가 과거 해킹팀의 후신 조직인 메멘토랩스와 연계돼 있음을 밝혀냈다.
공격자들은 러시아 학술 포털 e라이브러리를 모방한 가짜 도메인 ‘e-library[.]wiki’를 이용했다. 공격 메일은 ‘표절 검사 보고서’라며 압축 파일 형태의 첨부 링크를 포함하고 있었으며 이를 실행하면 악성코드가 자동 설치됐다.
동시에 공격자들은 흐릿하게 처리된 PDF 파일을 띄워 피해자가 정상적 학술 업무로 착각하게끔 유도했다. 악성코드 설치 이후에는 원격 접근 권한이 부여되고 감염된 시스템 내부에서 추가 공격이 가능하도록 구성돼 있었다.
카스퍼스키는 공격자들이 명령·제어(C2) 서버를 클라우드 인프라에 호스팅하는 등 탐지를 회피하기 위한 정교한 구조를 설계했다고 설명했다. GReAT는 포럼트롤이 최소 2022년부터 러시아와 벨라루스 내 표적을 꾸준히 관찰해온 것으로 보고 있다.
게오르기 쿠체린 카스퍼스키 GReAT 선임 연구원은 “연구자들은 공개된 학술 프로필로 인해 고도화된 피싱 공격의 주요 타깃이 된다”며 “표절 의혹처럼 불안을 자극하는 이메일은 클릭을 유도하기 쉽기 때문에 각별한 주의가 필요하다”고 말했다.
카스퍼스키는 연구자 및 기관 종사자들에게 △표절 관련 내용을 언급한 의심스러운 이메일 주의 △외부 파일 공유 링크 검증 △운영체제·브라우저 최신 상태 유지 △신뢰할 수 있는 보안 솔루션 사용 등을 당부했다.
이효은 카스퍼스키 한국지사장은 “학계 역시 국가 지원 해커의 주요 공격 대상이 되고 있어 한국 학술 커뮤니티도 보안 의식을 강화해야 한다”며 “카스퍼스키는 첨단 기술과 전문 인력을 바탕으로 연구 환경을 보호하기 위해 적극 지원할 것”이라고 밝혔다.
[여이레 기자(gore@boannews.com)]
클라우드 인프라 활용해 탐지 회피... C2 서버까지 정교하게 설계
[보안뉴스 여이레 기자] 카스퍼스키(지사장 이효은)는 7일 러시아 주요 대학과 연구기관 소속 연구자를 노린 새로운 표적형 지능형 지속 공격(APT) 공격을 포착했다고 밝혔다.
[자료: 카스퍼스키]
카스퍼스키 글로벌연구분석팀(GReAT)은 러시아 학술 및 연구기관의 정치학자와 국제 관계 전문가, 경제학자 등을 대상으로 ‘포럼트롤’(ForumTroll) 조직이 가짜 표절 보고서를 미끼로 한 피싱 공격을 수행한 것을 적발했다.
카스퍼스키는 지난해 10월 ‘시큐리티 애널리스트 서밋(SAS) 2025’ 직전 포럼트롤의 새로운 공격 정황을 탐지했다. 조직 단위 네트워크 침투에서 벗어나 개별 연구자를 직접 노리는 방식으로 방향을 바꾼 것이 특징이다.
포럼트롤은 지난해 3월 처음 탐지된 이후 꾸준히 활동을 이어온 것으로 분석됐다. 당시 카스퍼스키는 포럼트롤이 사용한 크롬 브라우저 제로데이 취약점(CVE-2025-2783)을 최초 보고한 바 있다. 또 이 공격에 사용된 스파이웨어 ‘단테’가 과거 해킹팀의 후신 조직인 메멘토랩스와 연계돼 있음을 밝혀냈다.
공격자들은 러시아 학술 포털 e라이브러리를 모방한 가짜 도메인 ‘e-library[.]wiki’를 이용했다. 공격 메일은 ‘표절 검사 보고서’라며 압축 파일 형태의 첨부 링크를 포함하고 있었으며 이를 실행하면 악성코드가 자동 설치됐다.
동시에 공격자들은 흐릿하게 처리된 PDF 파일을 띄워 피해자가 정상적 학술 업무로 착각하게끔 유도했다. 악성코드 설치 이후에는 원격 접근 권한이 부여되고 감염된 시스템 내부에서 추가 공격이 가능하도록 구성돼 있었다.
카스퍼스키는 공격자들이 명령·제어(C2) 서버를 클라우드 인프라에 호스팅하는 등 탐지를 회피하기 위한 정교한 구조를 설계했다고 설명했다. GReAT는 포럼트롤이 최소 2022년부터 러시아와 벨라루스 내 표적을 꾸준히 관찰해온 것으로 보고 있다.
게오르기 쿠체린 카스퍼스키 GReAT 선임 연구원은 “연구자들은 공개된 학술 프로필로 인해 고도화된 피싱 공격의 주요 타깃이 된다”며 “표절 의혹처럼 불안을 자극하는 이메일은 클릭을 유도하기 쉽기 때문에 각별한 주의가 필요하다”고 말했다.
카스퍼스키는 연구자 및 기관 종사자들에게 △표절 관련 내용을 언급한 의심스러운 이메일 주의 △외부 파일 공유 링크 검증 △운영체제·브라우저 최신 상태 유지 △신뢰할 수 있는 보안 솔루션 사용 등을 당부했다.
이효은 카스퍼스키 한국지사장은 “학계 역시 국가 지원 해커의 주요 공격 대상이 되고 있어 한국 학술 커뮤니티도 보안 의식을 강화해야 한다”며 “카스퍼스키는 첨단 기술과 전문 인력을 바탕으로 연구 환경을 보호하기 위해 적극 지원할 것”이라고 밝혔다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg)
.jpg)
_m.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
