Home > 전체기사

이란의 새 APT 그룹 말카막, 지난 4년여 동안 몰래 활동해 와

  |  입력 : 2021-10-07 13:17
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
고스트셸 작전이라는 것이 4년여 만에 드러났다. 배후에는 여태까지 한 번도 발견된 적 없던 APT 단체가 있는 것으로 보인다. 이들은 이란 정부와 관련이 있어 보이며, 우주항공과 통신사들을 주로 공략하고 있다고 한다.

[보안뉴스 문가용 기자] 이전까지 한 번도 공개되지 않은 APT 그룹이 발견됐다. 이란 정부와 관련이 있는 것으로 보이며, 최소 2018년부터 활동한 것으로 파악되고 있다. 이들은 주로 미국, 러시아, 유럽, 중동의 기업들로부터 각종 정보들을 조용히 빼내왔으며, 최근 이스라엘의 보안 업체 사이버리즌(Cybereason)에 의해 발각됐다. 사이버리즌은 이 이란 APT가 벌여온 작전을 ‘고스트셸 작전(Operation GhostShell)’이라고 부르고 있으며 APT 단체에는 말카막(MalKamak)이라는 이름을 붙였다.

[이미지 = utoimage]


사이버리즌이 발표한 보고서에 의하면 말카막은 사회 기반 시설과 기술 등 핵심 자산이라고 불릴만한 정보들을 훔쳐내는 데 주력했다고 한다. 특히 우주항공 산업과 통신 산업 내 조직들이 집중적으로 정보를 빼앗긴 것으로 파악되고 있다. 사이버리즌이 피해 사실을 찾아낸 기업은 10곳이 넘는다고 한다.

말카막이 지난 4년여 동안 한 번도 발각되지 않은 건 이들이 주력으로 사용하는 도구인 셸클라이언트(ShellClient) 때문이다. 셸클라이언트는 원격 접근 도구(RAT)의 일종으로 매우 은밀하며 각종 탐지 기술을 피해갈 수 있다고 사이버리즌의 수석 연구원인 아사프 다한(Assaf Dahan)은 설명한다. “예를 들어 말카막은 드롭박스를 셸클라이언트의 C&C로 활용해왔습니다. 가뜩이나 탐지하기 힘든 멀웨어를 최대한 전략적으로 활용하기까지 했다는 거죠.”

4년여 동안 활동했으면서 피해자를 대량으로 늘리지 않았다는 것도 말카막이 스스로의 존재를 감추는 데 큰 보탬이 됐다. “지금 인터넷 상에 돌아다니는 셸클라이언트 샘플은 거의 없다고 보면 됩니다. 3~4년 활동했는데 인터넷에 존재하는 샘플이 7~8개뿐이라는 겁니다. 말카막이 얼마나 조용히 활동했는지, 얼마나 들키지 않기 위해 애를 썼는지 알 수 있는 부분이죠. 셸클라이언트가 우연하게라도 새나가지 않도록 공격 빈도를 극히 제한한 것으로 추정됩니다. 게다가 셸클라이언트에는 자가 삭제 기능이 있습니다. 각종 난독화 기능은 당연하고요.”

최근 이란은 정부 지원 해커들의 사이버전 행위를 늘려가고 있다. 공격의 대상은 이란 정부와 이해 관계 혹은 적대적 관계에 있는 중동의 국가들과 미국 등이 대부분이었다. 말카막도 이런 점에서는 다른 이란발 APT 단체들과 크게 다르지 않다고 볼 수 있다. 하지만 말카막과 다른 유명 이란 APT 단체들 간 커넥션은 아직 좀 더 분석되어야 한다.

다한은 “사이버전 능력을 갖춘 국가들은 다양한 이유와 목적을 가지고 사이버전을 수행한다”며 “이란 사이버전 단체의 경우 파괴적 공격을 병행한다는 특징을 보일 때가 있다”고 설명한다. “정보를 빼돌림으로써 경제, 외교적 우위를 점하려는 공격에 반해 파괴적인 공격은 상대 국가에 직접적인 피해와 손실을 일으키려는 목적을 가지고 있습니다. 이란만 이런 공격을 하는 건 아니지만 파괴적 공격을 감행하는 APT 단체가 그리 많지는 않습니다.”

한편 셸클라이언트는 각종 정보를 수집하는 기능을 발휘하기도 하지만 임의의 명령을 실행하고 권한을 상승시키는 공격도 할 수 있는 것으로 분석됐다. 추가 멀웨어를 다운로드 받아 설치하기도 한다. “어떤 경우 셸클아이언트가 PAExec이라는 유틸리티를 다운로드 받아 설치해 횡적으로 움직이기도 했습니다. 크리덴셜 덤핑 도구를 다운로드 한 적도 있고요. 하지만 셸클라이언트의 가장 큰 특징은 개발자들이 코드를 계속해서 바꾼다는 겁니다. 그래서 잘 탐지되지 않을 뿐더러 기능이 점점 더 많아지고 있죠.”

말카막을 이란의 공격자로 추정하는 건 과거 출현했던 다른 이란 APT 단체들과의 연관성을 암시하는 흔적들이 나타났기 때문이다. 전략, 기술, 과정이라는 측면 모두에서 재미있는 유사성이 발견되고 있다는 게 사이버리즌의 의견이다. “하지만 아직 (타 APT 단체들과의 연관성을) 확정 지을 수 있는 단계는 전혀 아닙니다. 결론을 내리려면 좀 더 정보가 필요합니다. 유일한 결론은 말카막이라는 새로운 APT 단체가 모습을 드러냈다는 겁니다.”

3줄 요약
1. 이란발 새 APT 그룹이 3~4년 만에 모습을 나타냄.
2. 이들이 사용하던 셸클라이언트라는 멀웨어는 탐지가 매우 어려움.
3. 게다가 멀웨어 탐지가 더 어렵도록 각종 눈속임 전략까지 같이 사용.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)