이란의 해킹 단체도 윈라 취약점 사용해 사우디와 미국 노려

입력 : 2019-03-28 15:45

엘핀 혹은 APT33이라고 알려진 공격 단체, 사우디와 미국 정찰해
기성 도구와 자체 제작 도구 혼합해 사용...윈라에서 발견된 취약점도 활용

[보안뉴스 문가용 기자] 이란 정부와 관련이 깊어 보이는 사이버 해킹 단체인 엘핀(Elfin) 혹은 APT33이 사우디아라비아와 미국을 겨냥한 공격을 진행 중에 있는 것이 보안 업체 시만텍(Symantec)에 의해 발견됐다.


APT33은 2015년 후반기부터 보안 업계의 눈에 띄기 시작한 사이버 정찰 단체다. 시만텍은 2016년 초부터 APT33을 추적 및 관찰해왔고, 정부 기관, 연구 기관, 화학 산업, 엔지니어링 산업, 컨설팅 업체, 금융 기관, 생산 시설, 통신 산업을 집중적으로 노린다는 것을 알아냈다. 특히 중동에서 높은 활동량을 보였다.

시만텍이 적발한 공격들 중 42%는 사우디아라비아를 겨냥한 것이었고, 34%는 미국의 여러 조직들에 피해를 입혔다. “지난 3년 동안 18개의 미국 조직들이 APT33의 공격에 당했는데, 이 중에는 포춘 500대 기업에 속한 곳도 많습니다. 엔지니어링, 연구, 화학, 에너지, IT, 금융, 의료 산업이 고루 피해를 입었습니다.”

시만텍은 공격의 목적 중에 “공급망 공격”도 있다는 의견이다. “한 번은 미국의 큰 조직이 엘핀의 공격에 당했습니다. 그런데 같은 달에 그 회사가 중동에 소유하고 있는 회사도 같은 공격에 당했어요. 공격자들이 대형 공급망을 노리고 공격을 실시했다고 유추할 수 있는 부분입니다.”

APT33은 흔히 매장에서 구매할 수 있는 도구와 직접 만든 멀웨어를 혼합해서 사용하기도 했다. 이들이 직접 만든 멀웨어에는 노트스툭(Notestuk) 혹은 턴덤(TURNEDUP), 스톤드릴(Stonedrill), 오토잇(AutoIt) 언어로 만든 백도어 하나가 대표적이다.

다른 해커들 사이에서도 흔히 사용되는 도구 중 APT33이 활용한 건 렘코스(Remcos), 다크코멧(DarkComet), 쿼사 RAT(Quasar RAT), 퓨피 RAT(Pupy RAT), 나노코어(NanoCore), 넷위어드(NetWeird) 등이 있다. 미미캣츠(Mimikatz), 스니프패스(SniffPass), 라자냐(LaZagne), Gpp패스워드(Gpppassword) 등과 같은 유명 툴들도 사용한 적이 있다.

지난 달의 공격에서 APT33은 CVE-2018-20250이라는 취약점을 악용했다. 이는 최근 윈라(WinRAR)라는 압축 프로그램에서 발견된 것으로, 공격자들이 임의의 위치에 악성 파일을 심을 수 있게 해준다. 공격자들이 윈도우의 ‘시작 프로그램’ 폴더에 악성 프로그램을 설치하게 되면, 지속적인 공격마저 가능하게 된다.

이 윈라 취약점은 사우디아라비아의 한 화학 업체를 대상으로 활용됐다. APT33만이 아니라 다른 해킹 그룹들도 현재 이 취약점을 활발히 연구 및 활용 중에 있는 것으로 보인다. 북한의 라자루스도 얼마 전 이 취약점을 통해 이스라엘의 군수 업체를 해킹했다.

2018년 12월에는 APT33은 샤문3(Shamoon 3)이라는 취약점을 통해 에너지 산업을 공격하기도 했다. 이 역시 시만텍이 적발했는데, APT33의 소행일 가능성이 높다고 분석했다. 또 다른 보안 업체 맥아피(McAfee) 역시 APT33이거나, APT33을 흉내 낸 단체가 벌인 일이라고 결론을 내렸다.

“당시의 샤문 공격과 이번의 공격은 시기적으로 매우 가까운 때에 발생했습니다. 따라서 이 샤문 공격의 배후 세력과 APT33 사이에 어떤 연결고리가 있을 가능성이 높다고 유추할 수 있습니다. 그러나 이것 외에는 추가 증거물을 더 발견할 수가 없었습니다. 따라서 지금 시점에서 APT33이 샤문 공격을 저지른 그룹이라고 결론을 내리기는 힘든 상황입니다.”

3줄 요약
1. 이란의 해킹 단체, 사우디아라비아와 미국을 겨냥해 공격 펼치고 있음.
2. 이 와중에 확인할 수 있는 윈라 취약점의 높은 인기.
3. 심지어 작년 12월의 샤문 공격 역시 APT33과 관련이 있을 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 4

  과기정통부, ‘국제 AI안전연구소 네트워크’...

• 5

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...