[º¸¾È´º½º ¹®°¡¿ë ±âÀÚ] ¾Ç¸íÀÌ ÀÚÀÚÇÑ ·¯½Ã¾ÆÀÇ APT ´ÜüÀÎ APT28ÀÌ MS À©µµ¿¡¼ ÃÖ±Ù ¹ß°ßµÆ´Ù°¡ ÆÐÄ¡µÈ Æú¸®³ª(Follina) Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ Çϱ⠽ÃÀÛÇß´Ù. º¸¾È ¾÷ü ¸Ö¿þ¾î¹ÙÀÌÃ÷(Malwarebytes)¿¡ ÀÇÇϸé APT28ÀÌ ÃÖ±Ù ¿ìÅ©¶óÀ̳ªÀÇ »ç¿ëÀڵ鿡°Ô ¾Ç¼º ÇÇ½Ì ¹®¼¸¦ ³»º¸³»±â ½ÃÀÛÇߴµ¥, ÀÌ ¾Ç¼º ¹®°Ç¿¡ Æú¸®³ª ÀͽºÇ÷ÎÀÕÀÌ Æ÷ÇԵǾî ÀÖ´Ù°í ÇÑ´Ù. ¹®¼¿¡´Â ·¯½Ã¾Æ ÇÙ °ø°Ý°ú °ü·ÃµÈ Á¦¸ñÀÌ ºÙ¾î ÀÖ¾ú´Ù.
[À̹ÌÁö = utoimage]
Æú¸®³ª´Â CVE-2022-30190À̶ó´Â °ü¸® ¹øÈ£°¡ ºÙÀº Ãë¾àÁ¡À̸ç(°ø°³ ´ç½Ã¿¡´Â Á¦·Îµ¥ÀÌ »óÅ¿´´Ù), APT28Àº Æҽú£¾î(Fancy Bear) ȤÀº ¼ÒÆĽÃ(Sofacy)¶ó´Â À̸§À¸·Îµµ ºÒ¸®´Â °ø°Ý ´Üü´Ù. ¸Ö¿þ¾î¹ÙÀÌÃ÷°¡ À̵éÀÌ ³»º¸³»´Â ¾Ç¼º ¹®°ÇÀ» óÀ½ ¹ß°ßÇÑ °Ç 5¿ù 10ÀÏÀÇ ÀÏÀÌ´Ù. ¡°·¯½Ã¾ÆÀÇ ÇÙ °ø°Ý °¡´É¼ºÀ» ½ÇÁúÀûÀ¸·Î ¿°·ÁÇÏ°í ÀÖ´Â À̵éÀ̶ó¸é ÀÌ ¹®¼ÀÇ ³»¿ëÀÌ ±Ã±ÝÇÒ ¼ö¹Û¿¡ ¾ø½À´Ï´Ù.¡±
±Ã±ÝÁõÀ» ¸ø ÀÌ±ä »ç¿ëÀÚ°¡ ¹®°ÇÀ» ¿ °æ¿ì, ´å³Ý(.NET) ±â¹ÝÀÇ Å©¸®µ§¼È Å»Ãë ¸Ö¿þ¾î°¡ Æú¸®³ª Ãë¾àÁ¡À» ÅëÇØ ¼³Ä¡µÈ´Ù. ÀÌ ¸Ö¿þ¾î´Â ÀÌÀü±îÁö ÇÑ ¹øµµ ¹ß°ßµÇ°Å³ª ºÐ¼®µÈ ÀûÀÌ ¾ø´Â »õ·Î¿î ¸Ö¿þ¾î¶ó°í ÇÑ´Ù. ÀÌ ¸Ö¿þ¾î´Â Å©·Ò, ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¿¡Áö ºê¶ó¿ìÀú µîÀ¸·ÎºÎÅÍ »ç¿ëÀÚ À̸§, ºñ¹Ð¹øÈ£, URL Á¤º¸¸¦ ÈÉÃij½´Ù. ±× ¿Ü¿¡ Å©·Ò ºê¶ó¿ìÀú¿¡ ÀúÀåµÈ ¸ðµç ÄíÅ°µéµµ °¡Á®°¥ ¼ö ÀÖ´Ù°í ÇÑ´Ù.
¿ìÅ©¶óÀ̳ªÀÇ Ä§ÇØ ´ëÀÀ ¼¾Å͵µ ¸Ö¿þ¾î¹ÙÀÌÃ÷ÀÇ °æ°í¿Í ºñ½ÁÇÑ ³»¿ëÀÇ °æ°í¹®À» º°µµ·Î ¹ßÇ¥Çß´Ù. °ÅÀÇ ¸ðµç ³»¿ëÀÌ µ¿ÀÏÇѵ¥, Å©¸®µ§¼È Å»ÃëÇü ¸Ö¿þ¾î¿¡ Å©·¹µµ¸Ê(CredoMap)À̶ó´Â À̸§À» ºÙ¿´´Ù´Â °Í¸¸ ´Ù¸£´Ù. ¿ìÅ©¶óÀ̳ª ħÇØ ´ëÀÀ ¼¾ÅÍ¿¡ µû¸£¸é APT28ÀÌ ¾Ç¼º ¹®°ÇÀ» »ç¿ëÇØ Å©¸®µ§¼ÈÀ» Å»ÃëÇÑ °ÍÀÌ ÃÖ¼Ò 6¿ù 10ÀϺÎÅÍ¿´´Ù°í ÇÑ´Ù.
Á¡Á¡ ´õ ¾ÇÈµÇ¾î °¡´Â Æú¸®³ª »çÅÂ
Æú¸®³ª Ãë¾àÁ¡Àº ÇöÁ¸ÇÏ´Â ¸ðµç À©µµ ¹öÀü¿¡ Á¸ÀçÇϸç, ¾Ç¼º ¿ÀÇǽº ¹®¼¸¦ ¿¾îº¸°Ô ÇÔÀ¸·Î½á ÀͽºÇ÷ÎÀÕ ÇÒ ¼ö ÀÖ´Ù. ÀͽºÇ÷ÎÀÕ¿¡ ¼º°øÇÑ °ø°ÝÀÚ´Â ÇÇÇØÀÚÀÇ ½Ã½ºÅÛÀ» ¿ø°Ý¿¡¼ Á¶Á¤ÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ±×·± ÈÄ ¿©·¯ °¡Áö ¾Ç¼º ÇàÀ§¸¦ ½Ç½ÃÇÒ ¼ö Àִµ¥, ¿©±â¿¡´Â ¿ø°Ý ÄÚµå ½ÇÇà, ÇÁ·Î±×·¥ ¼³Ä¡, µ¥ÀÌÅÍ Á¶ÀÛ, »õ °èÁ¤ »ý¼º µîÀÌ Æ÷ÇԵȴÙ. ¸¶ÀÌÅ©·Î¼ÒÇÁÆ®´Â ÀÌ Ãë¾àÁ¡À» 5¿ù ¸» ÁîÀ½¿¡ °ø°³ÇßÀ¸³ª ÀÌ¹Ì Á¦·Îµ¥ÀÌ ÀͽºÇ÷ÎÀÕ È°µ¿ÀÌ ¹ú¾îÁö°í ÀÖ´ø ½Ã±â¿´´Ù. ÆÐÄ¡´Â À̹ø ´Þ¿¡ ÁøÇàµÆ´Ù.
¸Ö¿þ¾î¹ÙÀÌÃ÷´Â ¡°APT28ÀÌ Æú¸®³ª Ãë¾àÁ¡À» ÀͽºÇ÷ÎÀÕ ÇÏ´Â °ÍÀº À̹øÀÌ Ã³À½¡±À̶ó°í ÁÖÀåÇÑ´Ù. ¡°ÇÏÁö¸¸ ´Ù¸¥ APT ´ÜüµéÀº ÀÌ¹Ì Æú¸®³ª¸¦ È°¹ßÈ÷ ÀͽºÇ÷ÎÀÕ ÇÏ°í ÀÖ¾úÁÒ. ·¯½Ã¾ÆÀÇ ¶Ç ´Ù¸¥ APTÀÎ »÷µå¿ú(Sandworm)ÀÇ °æ¿ì Æú¸®³ª¸¦ »ç¿ëÇØ ¿ìÅ©¶óÀ̳ª Á¶Á÷µéÀ» ´ë·® °ø°ÝÇϱ⵵ Çß¾ú°í¿ä. ±×·¸±â¿¡ APT28ÀÌ Ã³À½ ½ÃµµÇÑ ÀÏÀ̱ä Çصµ ³î¶ó¿ï °ÍÀº ¾ø½À´Ï´Ù.¡± ±× ¿Ü¿¡µµ Æú¸®³ª¸¦ ÅëÇØ ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ© ºñÄÁ(Cobalt Strike Beacon)À» ÁÖ·Î »ç¿ëÇÏ´Â °ø°Ý Ä·ÆäÀÎÀÌ ¹ß°ßµÇ±âµµ Çß¾ú´Ù.
Æú¸®³ª¿Í °ü·ÃµÈ °ø°Ý ÇàÀ§´Â Áö³ ¼öÁÖ µ¿¾È ²ÙÁØÇÏ°Ô ¹ß°ßµÇ¾î ¿Ô´Ù. ¿ìÅ©¶óÀ̳ªÀÇ Á¶Á÷ ¿Ü¿¡µµ ¿©·¯ °÷¿¡¼ ÇÇÇØ°¡ ¹ß»ýÇß´Ù. º¸¾È ¾÷ü ÇÁ·çÇÁÆ÷ÀÎÆ®(Proofpoint)ÀÇ °æ¿ì Æú¸®³ª ÀͽºÇ÷ÎÀÕÀ» È°¿ëÇÑ APT ´ÜüÀÇ °ø°Ý ½Ãµµ¸¦ Â÷´ÜÇÏ´Â µ¥ ¼º°øÇß´Ù°í ¹ßÇ¥Çϱ⵵ Çß´Ù. ÇÁ·çÇÁÆ÷ÀÎÆ®°¡ ¸·¾Æ³½ °ø°Ý Ä·ÆäÀÎÀº ÇÁ·çÇÁÆ÷ÀÎÆ®ÀÇ °í°´»çµéÀ» ³ë¸®°í ÀÖ¾ú°í, ¿¬ºÀ Àλó°ú °ü·ÃµÈ ¹®°ÇÀ¸·Î ÇÇÇØÀÚµéÀ» ¼Ó¿´´Ù°í ÇÑ´Ù. ¼ÓÀº ÇÇÇØÀÚµéÀÇ ½Ã½ºÅÛ¿¡´Â ÆÄ¿ö¼Ð ½ºÅ©¸³Æ®°¡ ´Ù¿î·Îµå µÆ´Ù.
¶Ç ´Ù¸¥ º¸¾È ¾÷ü ½Ã¸¸ÅØ(Symantec) ¿ª½Ã Æú¸®³ª¸¦ ÀͽºÇ÷ÎÀÕ ÇÏ´Â ´Ù¾çÇÑ À§Çù ÇàÀ§ÀÚµéÀÌ ¹ß°ßµÇ°í ÀÖ´Ù´Â °æ°í¸¦ ³»º¸³½ ÀûÀÌ ÀÖ´Ù. °ø°ÝÀÚ°¡ ¿©·µÀ̸ç, µû¶ó¼ ¿©·¯ Á¾·ùÀÇ ¸Ö¿þ¾î°¡ Æú¸®³ª¸¦ ÅëÇØ À¯Æ÷µÇ´Â ÁßÀ̶ó°í ´ç½Ã ½Ã¸¸ÅØÀº °æ°íÇß¾ú´Ù. ½Ã¸¸ÅØÀÌ ¹ß°ßÇÑ ¸Ö¿þ¾î Áß Çϳª´Â ¿¡À̽ÌÅ©·§(AsyncRAT)À̾ú´Ù.
3ÁÙ ¿ä¾à
1. ·¯½Ã¾ÆÀÇ À¯¸í APT ´ÜüÀÎ APT28µµ Æú¸®³ª ÀͽºÇ÷ÎÀÕ Çϱ⠽ÃÀÛ.
2. ÀͽºÇ÷ÎÀÕ¿¡ È°¿ëµÇ´Â °Ç ·¯½Ã¾Æ ÇÙ °ø°ÝÀ» Å׸¶·Î ÇÑ ¾Ç¼º ¹®¼.
3. ¿©·¯ ¾Ç¼º ÇàÀ§¸¦ ½Ç½ÃÇÏ°í Àִµ¥, Ãß°¡ ¸Ö¿þ¾î ¼³Ä¡µÇ´Â °ÍÀÌ ´«¿¡ ¶ê.
[±¹Á¦ºÎ ¹®°¡¿ë ±âÀÚ(globoan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>