NSA의 공격 툴과 프레임워크 활용한 공격 캠페인 발견

셰도우 브로커스가 작년에 공개한 다크펄사 활용한 공격
이집트, 러시아, 이란의 에너지, 통신, 우주항공 분야가 주로 당해

[보안뉴스 문가용 기자] 보안 업체 카스퍼스키(Kaspersky)의 전문가들이 미국 첩보 기관인 NSA가 운영하는 것으로 보이는 해킹 단체 이퀘이젼 그룹(Equation Group)으로부터 훔쳐냈다고 주장되는 익스플로잇 도구가 실제 공격에 사용되는 것을 발견했다.

[이미지 = iclickart]

이 도구의 이름은 다크펄사(DarkPulsar)로, 관리자용 플러그인의 일종이다. 2017년 3월 셰도우 브로커스(Shadow Brokers)라는 해킹 그룹이 NSA의 도구라며 공개한 것들 중에 포함되어 있었다. 다크펄사는 댄더스프리츠(DanderSpritz)와 퍼즈번치(FuzzBunch)라는 프레임워크와도 관련이 깊은데, 이 두 가지 프레임워크 역시 셰도우 브로커스가 공개한 바 있다.

다크펄사는 퍼즈번치 내 임플란트컨피그(ImplantConfig)라는 항목의 일부로, 임플란트컨피그에는 익스플로잇 후(post-exploitation)를 위한 플러그인들이 포함되어 있다. 다크펄사는 sipauth32.tsp라는 백도어를 통제하는 기능을 가지고 있는 것으로 분석된다. sipauth32.tsp는 침해된 기기를 원격에서 통제할 수 있게 해준다.

그리고 다크펄사에 감염된 기기를 통제하는 데 활용된 것은 댄더스프리츠 프레임워크였다. 이 프레임워크 내의 피들칩(PeedleCheap)이라는, 보다 더 기능이 많은 플러그인이 통제에 활용되었다고 한다. 피들칩은 PCDllLauncher를 통해 심겨진다.

다크펄사는 다양한 명령어를 지원하는데, 여기에는 Burn, RawShellcode, UpgradeImplant, PingPong 등이 포함되어 있다. 각각 임플란트를 제거하고, 임의의 코드를 실행하고, 임플란트를 업그레이드하고, 백도어가 설치되어 있는지 확인하는 기능을 수행한다. 다른 명령어들로는 EDFStageUpload, DisableSecurity, EnableSecurity 등이 있다.

카스퍼스키 랩에 의하면 이러한 다크펄사가 러시아, 이란, 이집트 등에서 약 50명을 공격했다고 한다. 32비트와 64비트 시스템 모두를 노릴 수 있다고 한다. 대체로 윈도우 서버 2003/2008이 설치된 시스템들이 당했으며, 핵 에너지, 통신, IT, 우주항공, R&D 분야가 이 염탐 공격의 표적인 것으로 나타났다.

카스퍼스키는 “아마도 공격자들은 오랜 기간 동안 표적들을 염탐해온 것으로 보인다”고 말한다. 이들이 사용한 백도어에는 시스템에 오래 머물기 위한 고급 기능뿐만 아니라 올바른 사용자 이름과 비밀번호를 입력해야만 하는 인증 과정을 회피하는 기능도 포함되어 있었다. 또한 악성 트래픽을 정상 프로토콜로 포장하는 기능도 가지고 있었다.

이 공격 캠페인은 다크펄사라는 익스플로잇 툴이 대중들에게 공개되면서 멈춘 것으로 보인다. 그러나 캠페인이 멈췄다고 해서 다크펄사가 전부 삭제되었다는 뜻은 아니다. 아직도 다크펄사가 남아있는 시스템들이 존재할 가능성이 높은 것으로 카스퍼스키는 보고 있다. 하지만 그런 다크펄사를 사용하려면 진짜 다크펄사 관리자가 필요하다고 한다. “다크펄사를 사용하려면 백도어 내에 엠베드 되어 있는 공공 키와 조합되는 비밀 RSA 키가 필요하기 때문입니다.”

그러므로 카스퍼스키는 현재까지 찾아낸 50개의 피해 시스템이 전부가 아닐 것으로 보고 있다. “실제로 공격이 진행 되면서 댄더스프리츠와 퍼즈번치가 활발히 사용되고 있을 때는 피해자들이 훨씬 많았을 것입니다. 이렇게 생각하는 이유는 댄더스프리츠 프레임워크의 인터페이스가 많은 피해자들을 감시 및 관리할 수 있도록 구성되어 있기 때문입니다.”

다크펄사는 이번 공격에서 드러나는 것처럼 댄더스프리츠와 퍼즈번치라는 프레임워크와 함께 사용될 때가 많다고 카스퍼스키는 설명한다. “퍼즈번치와 댄더스프리츠는 여러 공격 툴들과의 호환성이 좋아, 유연한 공격을 펼치기에 좋은 프레임워크입니다. 둘 다 다양한 플러그인들로 구성되어 있는데, 퍼즈번치는 정찰과 공격에 초점을 맞추고 있고, 댄더스프리츠는 이미 감염된 피해자들을 관리하는 기능을 가지고 있습니다.”

3줄 요약
1. NSA의 익스플로잇 툴인 다크펄사 사용한 캠페인 발견됨.
2. 다크펄사와 연결된 두 가지 프레임워크인 댄더스프리츠(감염된 시스템 관리)와 퍼즈번치(공격, 정찰)도 발견됨.
3. 피해자들은 주로 러시아, 이란, 이집트의 통신, 에너지, 우주항공 산업에 분포되어 있음.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)