Home > 전체기사
이란의 해킹 단체, 미국의 연구 기관에 표적 공격 감행
  |  입력 : 2020-01-31 11:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
오일리그나 헬릭스 키튼으로 알려진 단체...피싱 문건 통해 위스탯 공격
최종 페이로드는 톤데프 2.0이라는 백도어...밸류볼트라는 정보 탈취 도구도 연루된 듯


[보안뉴스 문가용 기자] 이란의 해킹 그룹이 미국의 연구 기관을 공격했다고 보안 업체 인테저(Intezer)가 발표했다. 연루된 해킹 그룹은 오일리그(OilRig)나 헬릭스 키튼(Helix Kitten)이라고 알려진 APT34로 보인다. 2014년부터 정부 기관과 금융 기관, 에너지 및 사회 기반 시설을 노려 온 단체이기도 하다.

[이미지 = iclickart]


인테저에 따르면 이들의 공격은 현재도 진행되고 있으며, 수법이나 도구가 과거 APT34에 관한 보고서에서 묘사되는 것과 상당히 흡사하다고 한다. 특히 직원 만족도 설문조사인 것처럼 꾸며진 피싱 문건이 발견되었는데, 과거 공격과 마찬가지로 피해 조직에 딱 맞게 만들어져 있었다. 공격에 당한 곳은 위스탯(Westat)이라는 회사로, 다양한 정부 기관 및 업체들과 파트너십을 맺고 있다.

외신인 시큐리티위크에 의하면 공격자들이 사용한 멀웨어의 C&C 도메인은 manygoodnews.com이며, 아직도 작동 중에 있다고 한다. 또한 C&C 서버는 겨우 지난 달에 인증서를 발급받은 상태다. 인테저는 이러한 점들을 근거로 “공격이 현재에도 이어지고 있다”고 보고 있다.

문제의 설문 조사 피싱 문건을 열었을 때 제일 먼저 보이는 건 빈 스프레드시트 화면이다. 곧 내용을 보려면 매크로를 활성화 시켜야 한다는 메시지가 뜬다. 사용자가 이를 허용하면, 악성 VBA 코드가 톤데프(TONEDEAF)라는 멀웨어를 설치하고, 공격 지속성을 확보하기 위한 절차를 밟는다.

톤데프는 일종의 백도어로, APT34가 자체 개발한 공격 도구 중 하나라고 알려져 있다. 백도어이기 때문에 C&C와 통신을 하도록 만들어져 있는데, 이 때 HTTP를 사용한다. 이번에 발견된 톤데프는 약간 향상된 버전으로, 개조된 통신 프로토콜, 임의 셸 실행 기능 등을 탑재하고 있으며 미리 설정된 명령을 지원하지 않는다.

인테저는 이번 톤데프를 톤데프2.0이라고 부르고 분석을 시작했다. 코드의 많은 부분이 바뀌었지만 전체적인 기능성과 방향성에는 큰 차이가 없는 것으로 나타났다. “이전 버전에 비해 조금 더 은밀해졌고, 다이내믹 임포팅, 문자열 디코딩 등과 같은 새로운 기능이 추가됐습니다. 특정 아규먼트 없이 실행될 경우 빈 GUI 창을 띄움으로써 사용자들이 악성 앱에 대한 의심 대신 시스템 오류를 의심하도록 유도하기도 합니다.”

C&C와의 통신에 사용되는 건 여전히 HTTP다. 하지만 공격자들 고유의 인코딩 및 핸드셰이크 매커니즘이 추가됐다. 따라서 메시지들은 항상 고유의 식별자를 포함하고 있으며, 이를 통해 C&C에서 필터링 작업이 진행되는 것으로 보인다. “공격자들이 공격 대상을 선별하고 있다는 것이죠. 충분히 그럴 가능성이 높습니다.”

이번 캠페인에 밸류볼트(VALUEVAULT)라는 임플란트가 사용되었을 가능성도 높아 보인다. 밸류볼트는 브라우저의 크리덴셜을 훔치는 도구로 고(Go)라는 언어로 만들어졌다. 바이러스토탈(VirusTotal)에 톤데프 2.0 샘플을 업로드한 사용자가 밸류볼트를 같이 올렸다는 것이 근거다. 이 사용자는 레바논에 있는 것으로 알려져 있다. “결정적인 힌트까지는 아니지만, 둘이 한 캠페인에 같이 사용되었음을 짐작해볼 수 있게 해줍니다.”

3줄 요약
1. 미국의 여러 정부 기관 및 업체들과 파트너십 맺고 있는 연구 업체인 위스탯.
2. 이 위스탯을 겨냥한 이란 APT 단체의 공격이 발견됨.
3. 정보를 빼내기 위한 백도어, 톤데프가 발견됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)