ESET에게 덜미 잡힌 사이버 스파이 Mikroceen과 Ramsay의 정체
  |  입력 : 2020-05-19 15:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
Mikroceen, 중앙아시아의 정부와 통신·가스 기업 타깃 스파이 공격
Ramsay, 인터넷에 연결되지 않은 ‘에어-갭’ 시스템에서 민감한 문서 수집·추출


[보안뉴스 권 준 기자] 최근 중앙아시아에서 주요 표적을 공격하는 백도어 스파이 ‘Mikroceen’과 사이버 스파이 프레임워크인 ‘Ramsay’가 발견됐다. 두 가지 종류의 사이버 스파이는 모두 사이버 보안 분야 글로벌 기업 ESET(이셋)이 발견한 것으로 알려졌다.

[이미지=icilckart]


ESET이 최근 Avast와 협력해 발견한 ‘Mikroceen’은 일반적인 백도어 기능을 기반으로 하는 광범위하고 지속적으로 진화하는 원격 액세스 도구(RAT)로, 중앙아시아의 정부와 통신·가스 기업 타깃 스파이 공격에 악용되고 있는 것으로 드러났다. ‘Mikroceen’ 공격자들은 영향을 받는 네트워크에 장기적으로 액세스해 파일을 조작하고 스크린 샷을 찍을 수 있으며, 명령제어(C&C) 서버를 통해 원격으로 전송되는 다양한 명령을 내릴 수 있다.

ESET 연구원들은 사이버 스파이를 위해 특별히 제작된 ‘Mikroceen’의 클라이언트-서버 모델을 분석했다. 공동연구팀의 ESET 부문을 이끌고 있는 Peter Kálnai는 “멀웨어 개발자들은 피해자와의 클라이언트-서버 연결을 보호하기 위해 많은 노력을 기울였다. 운영자들이 인지도 높은 회사들의 네트워크에 침투함에 따라 그들의 멀웨어는 일반적인 환경에서도 활용됐다”며, “우리는 또한 난독화 기법의 변형으로 구성된 더 큰 공격도구 세트가 사용되고 지속적으로 개발되는 것을 볼 수 있었다”고 설명했다.

Mikroceen은 지속적으로 개발되고 있으며, 보안 연구원들은 해당 멀웨어가 2017년 말부터 다양한 타깃을 대상으로 백도어 기능과 함께 사용되는 것을 확인했다. 공격자들이 침입한 네트워크 내에서 이동하기 위해 사용하는 도구들 중에서 ESET과 Avast 연구원들은 2008년 경 만들어진 더 오래됐지만 악명 높은 RAT인 Gh0st RAT를 확인했다. Gh0st RAT와 Mikroceen 사이에는 많은 유사점이 있는 것으로 알려졌다.

ESET이 발견한 또 다른 사이버 스파이 활동은 ‘Ramsay’로 명명됐다. ‘Ramsay’는 인터넷이나 다른 온라인 시스템에 연결되지 않은 ‘에어-갭’ 시스템에서 민감한 문서를 수집하고 추출하기 위해 만들어진 것으로, 현재까지 피해자의 수가 매우 적으므로 아직까지도 개발 진행 중인 것으로 ESET 측은 판단했다.

ESET 몬트리올의 연구팀 책임자인 Alexis Dorais-Joncas는 “일본에서 업로드한 바이러스토탈(VirusTotal) 샘플에서 처음 발견했는데, 이 샘플은 더 많은 구성요소와 프레임워크의 다른 버전을 발견할 수 있도록 했다”며, “해당 프레임워크는 아직 개발 단계에 있으며, 전파 매개체는 정밀 테스트 대상이 되고 있다”고 설명했다.

ESET 연구 결과에 따르면 ‘Ramsay’는 2017년부터 마이크로소프트 워드(Microsoft Word) 취약성을 노린 이전 공격 방식을 사용하고, 스피어피싱(spear-phishing) 공격을 통해 트로이목마가 포함된 애플리케이션을 유포하는 등 다양한 공격 방식을 시도하는 것으로 드러났다. 발견된 ‘Ramsay’의 3가지 버전은 복잡성과 정교함에 있어 차이가 있으며, 특히 회피와 지속성 측면에서 세 번째 버전이 가장 진화된 버전으로 조사됐다.

ESET의 Dorais-Joncas는 “특히 주목할 만한 점은 Ramsay의 아키텍처 디자인, 특히 확산과 제어 기능 간의 관계가 어떻게 인터넷 연결이 없는 네트워크인 ‘에어-갭’ 네트워크에서 작동할 수 있는지에 대한 것”이라고 밝혔다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)