페이로드는 대부분 백도어...정찰이 목적인 것으로 보여...배후 세력 두고 설왕설래
[보안뉴스 문가용 기자] 페르시아만과 중동 지방의 국가 기관들을 겨냥한 피싱 캠페인이 발견됐다. 이 캠페인의 특징은 얼마 전 미국의 드론 공격을 받아 사망한 이란의 거셈 솔레이마니(Qasem Suleimani)를 테마로 하고 있다는 것이다. 또한 바레인, 사우디아라비아, UAE의 외교부에서 보낸 공식 이메일인 것처럼 위장되어 있기도 하다.
[이미지 = iclickart]
이 캠페인을 제일 먼저 발견한 건 보안 전문 업체인 블루 헥사곤(Blue Hexagon)이다. “피싱 메일의 발송자는 정상적인 이메일 마케팅 업체입니다. 공격에 사용되는 멀웨어는 구글 드라이브에 저장되어 있고, C&C 통신은 트위터를 통해 이뤄집니다. 이런 공공 서비스를 활용한 사이버 공격이 현재 해커들 상이에 유행이 되고 있습니다.” 블루 헥사곤 측의 설명이다.
이런 식의 공격 방법은 여태까지 이란의 지원을 받는 것으로 알려진 해커들이 사용하지 않았던 것으로, 블루 헥사곤은 “솔레이마니가 테마로 사용되고 있긴 하지만 이란 정부와 관련이 없는 캠페인으로 보인다”는 의견이다. 사이버 위협 첩보 부문 책임자인 어판 아스라(Irfan Asrar)는 “이란에서 시작된 공격이 아니라는 것을 내부적으로 확신하고 있다”며 “오히려 현재 상황을 악용하려는 동유럽 공격자들일 가능성이 높은 상황”이라고 분석한다.
이 캠페인의 표적이 되고 있는 국가는 중동 지방에서 미국의 동맹으로 알려진 나라들이다. 주로 이란의 사이버 공격에 피해를 입는 국가들이기도 하다. 이메일에는 솔레이마니의 사진과 이란의 ‘복수의 붉은 깃발’ 이미지가 심겨져 있다. 텍스트도 있는데, 블러 처리가 되어 있어 읽기가 힘들다. 하지만 메일 전체의 메시지는 “곧 이란의 대대적인 복수가 시작될 것이니 대비해야 한다”는 것이다. “대비를 위해서는 첨부된 문서의 내용을 확인해야 하고, 내용 확인을 위해서는 워드의 일부 기능을 활성화시켜야 한다고 되어 있습니다.”
이에 피해자가 해당 기능을 활성화 하면, 구글 드라이브에 마련된 악성 페이로드가 다운로드 된다. 대부분 백도어나 RAT으로 분류되는 것들이다. 이 백도어는 다시 한 번 실행 가능한 페이로드를 다운로드 하는데, 그 중 하나는 ‘미스터 빈’이라는 캐릭터가 등장하는 만화다. 하지만 이 이미지에도 암호화 된 백도어와 RAT가 숨겨져 있다. 블루 헥사곤은 이 ‘미스터 빈’ 캐릭터의 활용 역시 이란 해커들과 거리가 멀다고 지적한다.
블루 헥사곤은 이란의 해커들이 아니라고 주장하지만, 그게 100%의 자신감을 바탕으로 한 것은 아니다. 이 사건을 다룬 외신에서는 “카타르가 공격 대상에서 제외되었다는 것도 감안해야 한다”고 보도했다. “이란의 가장 유명한 전략 전술이 무엇입니까? 물리적 전투든 사이버 전투든, 뭔가 공격을 실시할 때 프록시들을 사용한다는 겁니다. 대리 전투를 매우 좋아하는 나라죠. 오히려 동유럽 해커들이 프록시를 사용하는 게 드문 일입니다.”
아스라는 “정확한 공격자가 누구든 이런 상황을 자신의 이득을 위해 활용하는 데에 전문성을 가지고 있는 자”라고 지적한다. “경험이 풍부한 놈들이에요. 솔레이마니 암살 사건이 발생하고 세계가 떠들썩해지자 얼른 피싱 공격을 기획하고 실행했을 정도니 말입니다. 솔레이마니가 죽은 건 1월 2일이고, 이 캠페인이 시작된 건 1월 2주차 때였습니다. 그리고 14일부터 저희 회사 측은 영향을 받은 기관과 단체에 연락을 주기 시작했고요.”
공격의 목표는 정보 탈취였을 거라고 아스라는 설명한다. “침투해서 정보를 빼낸 후 얼른 빠져나오려는 게 그들의 전략이었던 것으로 보입니다. 이렇게 빠르고 깔끔하게 치고 빠지는 것도 경험이 있는 해커 단체나 할 수 있는 일입니다.”
하지만 일각에서는 “이런 종류의 캠페인은 항상 비슷한 형태를 취한다”는 주장도 나오고 있다. 암살 사건처럼 잠깐 화제가 될 소재를 이용해 재빨리 필요한 정보만 빼가고 사라지는 자들을 찾는 게 그리 대단한 일이 아니라는 것이다. 어느 해킹 단체라도 범인이 될 수 있으며, 따라서 이란이 아니라고 벌써부터 선을 그을 필요가 없다는 게 이들의 주장이다.
3줄 요약
1. 솔레이마니 암살 사건을 상기시키고 이란 해킹 공격에 대비하라는 메일.
2. 워드 문서 열면 악성 매크로 시작되고 정찰용 페이로드 다운로드 됨.
3. 이란 아니라 동유럽 해커들일 가능성 높지만, 이란 가능성 배제하기도 힘듦.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>