Home > 전체기사

북한에서 배웠나...정치적 목적과 금전적 목적 모두 이루려는 어스루스카

  |  입력 : 2022-01-18 20:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정보도 수집하고 돈도 벌고 싶어 하는 공격 단체가 나타났다. 놀랍게도 북한의 라자루스가 아니다. 어스루스카라는, 윈티 그룹의 하위 조직이다. 다행히 아직까지는 이들의 공격을 막을 방법이 존재한다.

[보안뉴스 문가용 기자] 어스루스카(Earth Lusca)라는 공격 단체가 전 세계 여러 나라의 조직들을 대상으로 광범위한 규모의 에스피오나지 캠페인을 벌이고 있는 것이 드러났다. 정보를 대규모로 수집하는 목적은 결국 금전적인 이득을 취하기 위해서인 것으로 보인다.

[이미지 = utoimage]


“정부 기관, 교육 기관, 종교 관련 시설, 민주주의 옹호 단체, 인권 단체 등 꽤나 주목도가 높고 권위 있는 조직들을 표적으로 삼고 움직이는 듯합니다. 현재 정치적 상황이 혼란스러운 홍콩의 여러 조직들과 코로나 연구 시설, 매체들도 이들의 공격 대상입니다.” 보안 업체 트렌드 마이크로(Trend Micro)의 설명이다. “재미있는 건 이들이 정치적 목적만이 아니라 금전적인 목적을 가지고도 움직인다는 겁니다. 왜냐하면 피해자들 중에 도박 및 암호화폐 관련 기업들도 포함되어 있거든요.”

어스루스카를 추적해 온 트렌드 마이크로는 어스루스카가 중국의 유명 해킹 단체인 윈티(Winnti)의 하위 조직일 것으로 보고 있다. 일부 보안 전문가들은 윈티가 한 개의 단체가 아니라 여러 개의 서브그룹들의 총합일 것으로 예상하고 있다. 어떻게 구성되어 있든 윈티는 지적 재산 탈취와 첩보 수집을 주 목적으로 삼고 있다.

어스루스카는 주로 스피어피싱 공격과 워터링홀 공격을 통해 피해자의 네트워크에 침투하는 것으로 알려져 있다. 하지만 이것이 전부는 아니고 인터넷에 연결된 애플리케이션의 취약점 익스플로잇도 곧잘 해낸다. 그런 후 코발트 스트라이크(Cobalt Strike)와 같은 해킹 도구를 심는데, 코발트 스트라이크 외에도 도라에몽(Doraemon), 셰도우패드(ShadowPad), 윈티(Winnti), 퍼니스위치(FunnySwitch), 앤트소드(AntSword), 바하인더(Behinder) 등도 사용한다.

가끔씩 어스루스카가 암호화폐 채굴 멀웨어를 심는 경우도 있다고 트렌드 마이크로는 설명한다. 하지만 “이를 통해 얻는 수익은 그리 높아 보이지 않는다”고 트렌드 마이크로는 분석하고 있다. 그렇기 때문에 금전적 수익 창출은 이들 활동에 부차적인 목표로 보인다. 중국 정부가 외교 및 정치 무대에서 전략적 우위에 점할 수 있게 해 주는 단체들이 공격을 받는 것으로 보아 1차적 목표는 정보 수집일 것으로 강력하게 추측된다.

어스루스카가 공격하는 곳은 주로 다음과 같다.
1) 중국 대륙의 도박 회사들
2) 대만, 태국, 필리핀, 베트남, UAE, 몽골, 나이지리아의 정부 기관들
3) 대만, 홍콩, 일본, 프랑스의 교육 기관
4) 대만, 홍콩, 호주, 독일, 프랑스의 뉴스 매체
5) 홍콩의 친 민주주의 성향 단체와 인권 운동 조직
6) 미국의 코로나 연구 기관
7) 네팔의 통신사들
8) 중국에서 금지시킨 종교 활동 단체
9) 암호화폐 거래 및 무역 플랫폼들

트렌드 마이크로는 “모든 것을 봤을 때 어스루스카는 고차원적인 기술을 가진 위협 행위자들로 구성된 단체로 보이며, 첩보 수집과 금전적 이득 창출 모두를 목적으로 가지고 활동하는 듯하다”고 결론을 내리고 있다. 또한 “직접 시도해보고 체득한 기술들을 주로 활용하며, 표적을 옭아매는 데에 매우 능숙하다”고도 설명한다.

어스루스카의 공격을 예방하는 가장 효과적인 방법은 “의심스러운 이메일을 열지 않고 링크를 누르지 않는 등의 기본적인 보안 수칙을 지키는 것”이라고 트렌드 마이크로는 설명한다. “또한 취약한 애플리케이션의 빠른 업데이트도 좋은 예방책입니다. 왜냐하면 어스루스카의 공격 기술이 뛰어나긴 해도, 어차피 최초 침투 경로는 피싱 이메일이나 애플리케이션 익스플로잇이거든요. 보안 수칙이 간단해 보여도, 고급 공격자도 막을 수 있는 강력한 수단임에는 분명합니다.”

3줄 요약
1. 고급 실력 갖춘 해킹 단체 어스루스카, 윈티의 하위 그룹으로 보임.
2. 중국 정부에 적대적이거나 중국 정부가 선호하지 않는 단체들로부터 정보 수집.
3. 간간히 금전적 이득을 보기 위한 공격도 섞고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)