러시아 해킹 그룹, 라이트뉴론 가지고 MS 익스체인지 서버 공격
  |  입력 : 2019-05-09 11:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
침해한 서버로 드나드는 이메일 모두 열람과 조작 가능케 하는 멀웨어
지난 해에도 비슷한 내용의 보고서 나와...털라와 라이트뉴론, 관련 있는 듯


[보안뉴스 문가용 기자] 러시아 정부와 관련이 있는 해킹 그룹 털라(Turla)가 고급 백도어를 사용해 마이크로소프트 익스체인지(Microsoft Exchange) 메일 서버들을 공격했다고 보안 업체 이셋(ESET)이 발표했다.

[이미지 = iclickart]


문제의 멀웨어는 라이트뉴론(LightNeuron)이라는 것으로, 공격자들이 침해한 서버로 통과되는 모든 이메일을 열람하고 조작할 수 있게 해주는 기능을 가지고 있다. 뿐만 아니라 공격자들이 새로운 이메일을 만들고 보내거나, 들어오는 이메일을 차단하는 것도 가능하다.

털라는 워터버그(Waterbug), 크립튼(KRYOPTON), 베노머스 베어(Venomous Bear)라는 이름으로도 불리는데, 이셋에 의하면 최소 2014년부터 라이트뉴론을 사용해 마이크로소프트 익스체인지 서버들을 노려왔다. 이셋이 여태까지 발견한 샘플은 윈도우용이었지만, 여러 가지 정황을 봤을 때 리눅스 버전도 존재하는 것으로 보인다고 한다.

이셋은 라이트뉴론의 표적이 된 조직을 세 군데 찾아냈다. 이름을 밝히지는 않았지만 하나는 동유럽 국가의 외무부, 두 번째는 중동의 외교 관련 부서, 세 번째는 브라질에 있는 조직이라고 한다. 브라질 단체의 경우 바이러스토탈(VirusTotal)로 업로드 된 샘플을 통해 공격이 발생한 것을 알아내긴 했지만, 정확히 어떤 조직이 당했는지는 파악하지 못한 상태다.

이셋의 연구원들에 의하면 라이트뉴론은 공격을 지속시키기 위해 특이한 기술을 하나 사용하고 있다고 한다. 이전에 한 번도 발견된 적이 없는 기술이다. “일종의 수송 에이전트(transport agent)를 활용하고 있습니다. 수송 에이전트를 통해 공격자는 익스체인지 서버들에 자기가 원하는 소프트웨어를 설치할 수 있게 됩니다.”

라이트뉴론은 스팰 차단기나 기타 보안 제품들과 동일한 권한으로 실행된다고 한다. 또한 공격자들은 특수하게 조작된 PDF 문서들이나 JPG 이미지 파일들이 첨부된 이메일들을 사용해 라이트뉴론을 제어한다. “라이트뉴론은 이런 특수한 이메일들을 탐지하고 PDF와 JPG로부터 명령을 추출합니다.”

라이트뉴론이 지원하는 명령어들은 서버에 대한 통제권을 공격자에게 넘겨주기에 충분하다. “파일을 쓰고 실행하고 삭제하고 빼내는 것도 명령에 포함되어 있습니다. 프로세스와 각종 명령어를 실행하고, 백도어를 몇 분 동안 비활성화시키는 것도 가능하고요.”

작년 이셋은 털라가 마이크로소프트 아웃룩을 공략하기 위해 사용한 백도어에 대해 세부적으로 발표한 바 있다. 라이트뉴론은 아니었지만, PDF 파일이 첨부된 이메일로 C&C 서버와 통신한 것은 같았다.

이셋이 라이트뉴론 멀웨어와 털라를 연관시킨 것에는 몇 가지 이유가 있다. “침해된 익스체인지 서버들에 그동안 알려진 털라의 멀웨어들이 함께 발견되었습니다. 또한 공격에 사용된 파일 이름들이 털라가 이전 공격에 사용했던 파일 이름들과 비슷합니다. 심지어 털라만 사용한다고 알려진 패커가 사용되기도 했습니다.”

보안 업체 카스퍼스키 랩(Kaspersky Lab)이 작년 발표한 APT 트렌드 보고서에도 라이트뉴론에 대한 내용이 포함되어 있다. 카스퍼스키도 라이트뉴론이 털라의 멀웨어라고 짚었었다. 당시 라이트뉴론의 피해자들은 중동과 중앙아시아에 집중되어 있었다.

이셋은 그 외에도 익스체인지 서버가 침해되고, 침해된 서버에 명령이 전달된 시간이 모스코바의 근무 시간대와 겹친다는 것도 파악해냈다. 공격이 2018년 12월 28일과 1월 14일 사이에는 중단됐었는데, 이는 러시아인들이 크리스마스와 새해 휴가로 일을 쉬는 때라고 한다.

3줄 요약
1. 러시아의 해킹 그룹 털라, 라이트뉴론이라는 멀웨어 사용해 익스체인지 서버 공략.
2. 침해된 서버로 통과되는 모든 이메일은 공격자가 열람하고 조작할 수 있음.
3. 지난 해에도 비슷한 연구 결과가 나온 바 있음. 라이트뉴론과 털라의 연관성 갈수록 깊어짐.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제