네이티브 AOT 컴파일 및 앱도메인 격리 등 첨단 은폐 기술 적용
[보안뉴스 김형근 기자] 이스라엘 핵심 안보 인프라를 겨냥한 이란 연계 해커 조직의 사이버 공격이 포착됐다. 이번 공격에 쓰인 카번(Cavern) C2 프레임워크는 파일리스 공격과 데이터 격리 기술을 결합해 생존성을 극대화한 신형 도구로 분석된다.

[출처: gettyimagesbank]
보안 기업 체크포인트에 따르면, 이란 정보기관(MOIS)과 연계된 것으로 알려진 해커 집단 ‘카번 맨티코어’(Cavern Manticore)가 전산망을 원격으로 조종할 수 있는 신형 해킹 프레임워크를 활용한 사이버 공격을 진행하고 있다고 7일(현지시각) 밝혔다.
카번 맨티코어는 기존 머디워터(MuddyWater)나 라이시움(Lyceum) 등 이란발 해커 진영과 기술 공유를 토대로 빠르게 세력을 확장하고 있다. 이들은 이스라엘 내 정부 부처와 국가 전산망에 서비스를 제공하는 IT 인프라 업체를 주요 목표로 삼았다.
이번 공격은 보안 시스템을 직접 파괴하는 방식 대신 이를 관리하는 원격 모니터링 관리(RMM) 소프트웨어의 권한을 가로채는 침투 방식을 취했다. 해커들은 침투 과정에서 자동 탐지 필터를 무력화하기 위해 네이티브 AOT와 NET 프레임워크, C++/CLI를 포함한 다양한 구성 요소에서 컴파일 형식을 활용했다.
이를 통해 생성한 악성코드는 바이러스토탈(VirusTotal)에서 탐지율 0%를 기록할 만큼 높은 은폐력을 보였다. 또 침투 모듈별로 앱 도메인 격리 기술을 써 단일 호스트 내에서 전체 공격 도구를 회수하지 못하도록 보안 분석을 차단했다.
체크포인트리서치 분석 결과 카번 프레임워크는 감염된 시스템에 상주하는 백도어 에이전트와 데이터 탈취를 위한 사후 침투 모듈이 명확히 분리된 구조를 지녔다. 해커들은 컴파일 단계에서 메타데이터 구조를 변형해 코드 분석을 방해하는 등 작전을 고도화했다.
보안 전문가들은 “이번 공격으로 이란 해커들이 목표한 인프라를 직접 통제할 수 있는 공격 루트를 확보했고, 이는 소프트웨어 공급망 내 신뢰 관계를 악용하는 방식”이라며 “향후 더 촘촘한 엔드포인트 보안 거버넌스와 이상 징후 탐지 체계 구축이 시급해졌다”고 조언했다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>








.jpg)





