작년 말부터 시작된 캠페인...동유럽의 외교 및 군 관련 조직들을 겨냥해 백도어 심어
감염 초기에는 정상 도구들 한껏 악용...실제 페이로드가 도착하기까지 긴 절차 밟아
[보안뉴스 문가용 기자] 동유럽의 외교 및 군 관련 기관들을 집중적으로 공격하는 APT 단체인 인비지몰(InvisiMole)이 다시 나타났다고 보안 업체 이셋(ESET)이 경고했다. 인비지몰은 최소 2013년부터 활동해왔으며, 2018년 그 정체가 처음 드러난 공격자들로 러시아 정부에 유리한 공격을 주로 진행한 것으로 알려져 있다.
[이미지 = utoimage]
최근 이셋이 발표한 인비지몰의 캠페인은 2019년 후반기부터 시작된 것으로 보인다. 그리고 아직도 진행되고 있다고 한다. 특이한 건 러시아의 또 다른 APT 단체인 가마레돈(Gamaredon)이 이전에 침해한 환경에만 인비지몰이 공격 도구가 발견되고 있다는 점이다. 심지어 가마레돈이 주로 사용하는 닷넷(.NET) 다운로더도 인비지몰이 사용하는 모습이 나타났다. 두 단체의 연합이 의심되는 부분이다.
“저희가 조사한 바에 의하면 인비지몰이 사용하는 고급 멀웨어는 가마레돈이 사용하던 간단한 멀웨어로부터 만들어진 것이며, 주로 가마레돈이 중요하다고 생각하는 공격 표적들에서 이렇게 진화된 도구들이 발견되고 있습니다. 이런 상태에서 가마레돈이 눈길을 끄니, 인비지몰은 상대적으로 눈에 안 띄게, 숨어서 공작을 진행할 수 있게 됩니다.” 이셋의 분석가인 주자나 흐롬코바(Zuzana Hromcova)가 보고서를 통해 설명한다.
공격자들은 자신들의 도구들을 최신화 하는 데에도 부지런을 떨었다. 이미 가지고 있던 요소들을 재설계하거나 컴파일링을 다시 하는 것은 물론 새로운 도구들을 추가하기도 했다. 그 증거로 이셋은 인비지몰이 사용하던 백도어가 여러 버전 상태로 존재하는 것을 발견하기도 했다. 심지어 공격이 벌어지는 와중에도 도구 업데이트가 진행됐다고 한다.
피해자의 네트워크와 인프라에 발을 들이는 데 성공한 인비지몰은 다양한 기술을 구사하며 횡적으로 움직이기 시작한다. 이 때 블루킵(BlueKeep, CVE-2019-0708), 이터널블루(EternalBlue, CVE-2017-0144)와 같은 취약점들도 활용된다. 악성 문건이 사용되는 경우도 있고 가짜 소프트웨어 설치 파일 형태로 퍼지기도 한다.
그렇게 해서 여러 시스템을 장악한 후에는 제일 먼저 TCP 다운로더를 설치한다. 이는 말 그대로 다음 공격에 사용될 도구들 다운로드 해 설치하는 멀웨어로, 주로 DNS 다운로더를 설치한다. 이 DNS 다운로더는 공격 지속성을 확보하기 위한 기능을 가지고 있으며, 공격자들은 이 DNS 다운로더를 통해 몰래 시스템에 접근할 수 있게 된다. 또한 C&C와의 통신을 위해 DNS 터널링이라는 기법을 사용한다.
그 후에 공격자들은 여러 가지 기법을 통해 최종 페이로드를 다운로드 받는다. 최종 페이로드는 RC2CM 혹은 RC2CL 백도어의 최신 버전이다. 여러 가지 기법이란, 1) 제어판 컨텍스트에서의 은밀한 실행, 2) 토탈 비디오 플레이어(Total Video Player)의 취약점 악용, 3) speedfan.sys 드라이버의 로컬 권한 상승 취약점 악용, 4) wdigest.dll 라이브러리의 취약점 악용 등이 있다.
하지만 인비지몰을 가장 돋보이게 하는 건 피해자마다 상이한 암호화 기술을 사용한다는 것과 침투 초기 단계에서 정상적인 도구들을 한껏 활용한다는 점이다. 악성으로 명확히 분류될만한 것들은 뒤늦게 등장한다. 또한 와이파이 비밀번호 등 각종 크리덴셜을 로컬에 저장하는 데 사용되는 DPAPI 기능(정상 기능이다)을 자신들의 악성 페이로드를 저장하는 데 이용하기도 한다.
“2019년부터 스물스물 모습을 보이기 시작한 인비지몰을 이셋은 꾸준히 추적해 왔습니다. 여러 정보를 조각조각 수집할 수 있었고, 충분히 모인 끝에 전체적인 모양새를 가늠할 수 있게 되었습니다. 현재 인비지몰은 대단히 은밀하게 움직이고 있으며, 그런 가운데 스스로의 전략과 도구들을 강화하는 것도 부지런히 진행하고 있습니다. 가마레돈과 밀접한 관계를 유지하고 있기도 한데, 현재까지 둘은 서로 독립적으로 존재하는 단체라고 보입니다.”
3줄 요약
1. 동유럽 기관들 노리는 APT 그룹 인비지몰, 2019년 말부터 현재까지 은밀히 공격 진행 중.
2. 러시아 정부와 친화적인 움직임 보이는 가마레돈과 무슨 관계? 밀접한 건 사실인데...
3. 공격 도구들의 부지런한 최신화도 눈에 띄는 점.
[국제부 문가용 기자(globoan@boannews.com)]
감염 초기에는 정상 도구들 한껏 악용...실제 페이로드가 도착하기까지 긴 절차 밟아
[보안뉴스 문가용 기자] 동유럽의 외교 및 군 관련 기관들을 집중적으로 공격하는 APT 단체인 인비지몰(InvisiMole)이 다시 나타났다고 보안 업체 이셋(ESET)이 경고했다. 인비지몰은 최소 2013년부터 활동해왔으며, 2018년 그 정체가 처음 드러난 공격자들로 러시아 정부에 유리한 공격을 주로 진행한 것으로 알려져 있다.
[이미지 = utoimage]
최근 이셋이 발표한 인비지몰의 캠페인은 2019년 후반기부터 시작된 것으로 보인다. 그리고 아직도 진행되고 있다고 한다. 특이한 건 러시아의 또 다른 APT 단체인 가마레돈(Gamaredon)이 이전에 침해한 환경에만 인비지몰이 공격 도구가 발견되고 있다는 점이다. 심지어 가마레돈이 주로 사용하는 닷넷(.NET) 다운로더도 인비지몰이 사용하는 모습이 나타났다. 두 단체의 연합이 의심되는 부분이다.
“저희가 조사한 바에 의하면 인비지몰이 사용하는 고급 멀웨어는 가마레돈이 사용하던 간단한 멀웨어로부터 만들어진 것이며, 주로 가마레돈이 중요하다고 생각하는 공격 표적들에서 이렇게 진화된 도구들이 발견되고 있습니다. 이런 상태에서 가마레돈이 눈길을 끄니, 인비지몰은 상대적으로 눈에 안 띄게, 숨어서 공작을 진행할 수 있게 됩니다.” 이셋의 분석가인 주자나 흐롬코바(Zuzana Hromcova)가 보고서를 통해 설명한다.
공격자들은 자신들의 도구들을 최신화 하는 데에도 부지런을 떨었다. 이미 가지고 있던 요소들을 재설계하거나 컴파일링을 다시 하는 것은 물론 새로운 도구들을 추가하기도 했다. 그 증거로 이셋은 인비지몰이 사용하던 백도어가 여러 버전 상태로 존재하는 것을 발견하기도 했다. 심지어 공격이 벌어지는 와중에도 도구 업데이트가 진행됐다고 한다.
피해자의 네트워크와 인프라에 발을 들이는 데 성공한 인비지몰은 다양한 기술을 구사하며 횡적으로 움직이기 시작한다. 이 때 블루킵(BlueKeep, CVE-2019-0708), 이터널블루(EternalBlue, CVE-2017-0144)와 같은 취약점들도 활용된다. 악성 문건이 사용되는 경우도 있고 가짜 소프트웨어 설치 파일 형태로 퍼지기도 한다.
그렇게 해서 여러 시스템을 장악한 후에는 제일 먼저 TCP 다운로더를 설치한다. 이는 말 그대로 다음 공격에 사용될 도구들 다운로드 해 설치하는 멀웨어로, 주로 DNS 다운로더를 설치한다. 이 DNS 다운로더는 공격 지속성을 확보하기 위한 기능을 가지고 있으며, 공격자들은 이 DNS 다운로더를 통해 몰래 시스템에 접근할 수 있게 된다. 또한 C&C와의 통신을 위해 DNS 터널링이라는 기법을 사용한다.
그 후에 공격자들은 여러 가지 기법을 통해 최종 페이로드를 다운로드 받는다. 최종 페이로드는 RC2CM 혹은 RC2CL 백도어의 최신 버전이다. 여러 가지 기법이란, 1) 제어판 컨텍스트에서의 은밀한 실행, 2) 토탈 비디오 플레이어(Total Video Player)의 취약점 악용, 3) speedfan.sys 드라이버의 로컬 권한 상승 취약점 악용, 4) wdigest.dll 라이브러리의 취약점 악용 등이 있다.
하지만 인비지몰을 가장 돋보이게 하는 건 피해자마다 상이한 암호화 기술을 사용한다는 것과 침투 초기 단계에서 정상적인 도구들을 한껏 활용한다는 점이다. 악성으로 명확히 분류될만한 것들은 뒤늦게 등장한다. 또한 와이파이 비밀번호 등 각종 크리덴셜을 로컬에 저장하는 데 사용되는 DPAPI 기능(정상 기능이다)을 자신들의 악성 페이로드를 저장하는 데 이용하기도 한다.
“2019년부터 스물스물 모습을 보이기 시작한 인비지몰을 이셋은 꾸준히 추적해 왔습니다. 여러 정보를 조각조각 수집할 수 있었고, 충분히 모인 끝에 전체적인 모양새를 가늠할 수 있게 되었습니다. 현재 인비지몰은 대단히 은밀하게 움직이고 있으며, 그런 가운데 스스로의 전략과 도구들을 강화하는 것도 부지런히 진행하고 있습니다. 가마레돈과 밀접한 관계를 유지하고 있기도 한데, 현재까지 둘은 서로 독립적으로 존재하는 단체라고 보입니다.”
3줄 요약
1. 동유럽 기관들 노리는 APT 그룹 인비지몰, 2019년 말부터 현재까지 은밀히 공격 진행 중.
2. 러시아 정부와 친화적인 움직임 보이는 가마레돈과 무슨 관계? 밀접한 건 사실인데...
3. 공격 도구들의 부지런한 최신화도 눈에 띄는 점.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)