독자적으로 개발한 백도어 사용해 침투...스피어피싱 테마도 다양해
충분히 공격 발판 마련한 후 랜섬웨어 투입시켜...요구하는 금액은 5만 달러

[보안뉴스 문가용 기자] 올드그렘린(OldGremlin)이라는 사이버 공격 그룹이 새롭게 발견됐다. 이들은 계속해서 러시아의 기업들을 괴롭히고 있다고 한다. 러시아의 은행, 의료 관련 업체, 여러 산업체들이 이들 때문에 골머리를 앓고 있다는 소식이다. 올드그렘린 공격자들은 주로 랜섬웨어를 사용하고 있다.


[이미지 = utoimage]

올드그렘린은 다양한 도구들을 사용해 사이버 공격을 실시한다. 이 중 눈에 띄는 건 타이니포시(TinyPosh)와 타이니노드(TinyNode)라는 독자적 백도어들이다. 이 두 가지 멀웨어를 가지고 올드그렘린은 최초 침투를 성공시킨다. 그 외에 교묘한 스피어피싱 공격에도 일가견이 있다. 공격자들은 러시아어를 구사하며, 피해자들도 러시아 내 업체들이다.

이 그룹이 제일 먼저 발견된 건 지난 8월의 일이다. 당시 러시아의 한 제약 회사를 공격하고 있었다. 주요 매체인 척 가장해 스피어피싱 이메일을 보낸 것이 딱 걸렸다. 그러나 이메일은 이미 열렸고, 파일들은 암호화 됐다. 올드그렘린은 5만 달러의 돈을 요구했다. 이 사건을 추적한 보안 업체 그룹IB(Group-IB)는 “지난 봄부터 최소 7번의 피싱 공격을 실시한 것으로 보인다”고 자사 블로그를 통해 밝혔다. “이들은 공격 대상에 따라 갖가지 모습으로 위장을 해가며 피해자들을 속였습니다.”

위에서 언급된 제약 회사의 경우 스피어피싱 공격을 통해 최초 침투가 발생했는데, 공격 이메일에는 zip 아카이브가 첨부되어 있었다. ‘영수증’이라는 이름이 붙었었고 보낸 사람은 주요 미디어 그룹사의 재무 담당 부서인 것처럼 꾸며져 있었다. 이 아카이브 안에는 타이니노드가 포함되어 있었고, 타이니노드는 피해자의 컴퓨터에 추가 멀웨어를 다운로드 받아 설치했다. 이 타이니노드는 약 20초 만에 윈도 디펜더에 탐지되어 삭제됐지만, 그 20초 동안 할 일을 다 마쳤다. 추가 공격의 발판을 다 갖춘 것이다.

이렇게 발판이 마련된 이후에 공격자들은 피해자들을 관찰하기 시작했다. 주요 데이터를 수집하고 네트워크를 통해 공격의 통로를 조금씩 넓혀갔다. 코발트 스트라이크(Cobalt Strike)라는 프레임워크를 활용해 익스플로잇 이후의 악성 활동이 반드시 진행될 수 있도록 손을 쓰기도 했다. 정찰을 충분히 해서 공격 효과가 가장 높을 것이라는 확신이 들면 랜섬웨어를 설치했다. 이 랜섬웨어의 이름은 타이니크립터(TinyCryptor)였다.

그룹IB는 올드그렘린이 3월 후반과 4월초부터 활동을 시작했을 것으로 보고 있다. 당시 이들은 주로 코로나 바이러스를 미끼로 활용했었다고 한다. 그리고 시간이 지남에 따라 유연하게 테마를 바꾸기도 했다. 그 주제와 내용이 꽤나 광범위하다고 한다.

이들은 8월 13일과 14일 잠깐 휴식기를 갖고 곧바로 활동을 재개했다. 최근에는 금융 산업 내 각종 기업들을 노리는 악성 이메일 250통을 발송했다. 이 때도 역시 다양한 테마를 활용하고 있었다.

올드그렘린이 그룹IB의 주목을 받은 건 러시아어를 구사하는 해커들이 러시아 기업들만을 노리고 있기 때문이다. 이는 그간 러시아 해커들 사이에서 좀처럼 볼 수 없었던 공격 패턴이라고 한다. “러시아 해커들 사이에서는 불문율이 있습니다. 바로 구 소련 국가들은 공격하지 않는다는 겁니다. 그런데 그게 깨진 거예요. 그것도 정교하고 광범위한 공격을 대범하게 퍼붓고 있습니다. 이것이 시발점이 되어 어떤 현상으로 발전할지 예측조차 하기가 힘듭니다. 러시아 사이버 세계의 사정이 재미있게 흘러갈 것 같습니다.”

3줄 요약
1. 최근 발견된 러시아의 해킹 그룹, 올드그렘린.
2. 랜섬웨어를 주로 활용하며 러시아 기업들을 공격함.
3. 구 소련 국가들 공격하지 않는다는 러시아 해커들의 불문율 깨짐.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>