Home > 전체기사
인도 조직 주로 노리는 트랜스패런트 트라이브, 새 공격 도구 사용
  |  입력 : 2020-08-27 17:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
수준 그리 높지 않은 APT 단체 트랜스패런트 트라이브, 공격 도구 바꿔
원래 크림슨랫 사용하던 단체...최근 들어 주요 공격 무기 바꾸는 등 투자 감행


[보안뉴스 문가용 기자] 2013년부터 활동하기 시작한 APT 단체 트랜스패런트 트라이브(Transparent Tribe)가 새로운 모바일 멀웨어를 활용하기 시작했다. 이들에 대해 보고서를 발표한 보안 업체 카스퍼스키(Kaspersky)에 의하면 트랜스패런트 트라이브는 현재 인도의 안드로이드 사용자들을 주로 노리고 있다고 한다.

[이미지 = utoimage]


트랜스패런트 트라이브(이하 TT)가 새롭게 사용하기 시작한 멀웨어는 피해자의 시스템에 설치된 이후 새로운 앱을 다운로드 받고, 문자 메시지를 확인하며, 마이크로폰과 통화 기록에까지 접근할 수 있다고 한다. 뿐만 아니라 장비의 위치를 추적하고 장비 내 파일을 공격자들의 서버로 업로드 하는 것도 가능하다는 게 카스퍼스키의 설명 내용이다.

카스퍼스키의 수석 보안 연구원인 기암파올로 데돌라(Giampaolo Dedola)는 “현재까지 수집된 정보에 의하면 공격자들은 안드로이드 패키지 파일을 특정 웹사이트들에 호스팅하고 있고, 피해자들을 이리로 꼬드겨 감염시킨다”고 한다. TT가 주로 사용하는 전략은 소셜 엔지니어링이라고 한다.

카스퍼스키에 의하면 현재 TT가 멀웨어를 배포하는 방법은 가짜 안드로이드 애플리케이션을 통해서라고 한다. 두 가지 애플리케이션이 동원되고 있는데, 그 중 하나는 오픈소스 비디오 플레이어 앱이라고 한다. 설치될 경우 전면에서는 성인 영상이 출력되면서 피해자의 시선을 빼앗는다. 그리고 배경에서는 멀웨어가 설치됐다. 두 번째 앱은 인도의 코로나 바이러스 추적 앱 중 하나인 아로갸 세투(Aarogya Setu)인 것처럼 위장되어 있다.

두 앱 모두 배경에서 피해자의 눈을 피해 또 다른 안드로이드 패키지 파일을 설치한다는 공통점을 가지고 있다. 문제의 이 패키지는 아미스(AhMyth)의 버전 중 하나인데, 아미스는 깃허브에서 누구나 다운로드 받을 수 있는 오픈소스 안드로이드 원격 접근 도구다. 카스퍼스키에 의하면 TT가 설치하는 버전의 아미스는 깃허브 버전과 기능 면에서 다르다고 한다. 물론 정보를 탈취해 빼내는 부분이 더 강화되어 있다.

데돌라는 아미스에 대해 “대단히 흥미로운 멀웨어”라고 말한다. “이전에 있던 사이버 도구 중 하나를 자신들의 목적에 맞게 고쳐서 나쁜 목적으로 사용하니까요. 그렇다는 건 공격자들이 어느 정도 자원을 투자했다는 소리가 되고, 그건 미래에도 이 멀웨어가 다시 사용될 가능성이 높다는 뜻입니다. 그 때도 조금 변경될 가능성이 크죠.”

TT는 프로젝트엠(PROJECTM)이나 미식 레오파드(MYTHIC LEOPARD)라고도 불리는 단체로 활동력이 왕성하다. 주로 인도의 군사 기관과 정부 기관, 외교 기관들을 노리고 공격을 실시한다. 최근 아미스를 사용하기 전까지는 크림슨랫(Crimson RAT)을 주로 사용했다. 크림슨랫은 닷넷(.NET)을 기반으로 한 원격 접근 도구로, 악성 매크로가 설치된 문서를 통해 퍼진다. TT는 이 이에도 파이선을 기반으로 한 원격 접근 도구인 페피(Peppy)를 가끔 사용하기도 한다.

데돌라에 의하면 TT가 굉장히 왕성한 단체임에는 틀림이 없지만, 기술력이 차별적으로 높은 건 아니라고 한다. “스피어 피싱 이메일을 통해 VBA 코드가 삽입된 악성 문서를 전파함으로써 피해자 시스템을 감염시킨다는 게 이들의 거의 하나밖에 없는 전략입니다. 게다가 오픈소스를 살짝 변경하는 것만으로 도구들을 충당하고 있습니다. 어떻게 보면 단순하기 짝이 없는데, 피해자들은 양산되고 있습니다. 한두 가지 전략과 단순한 도구에 기댄 평범한 해킹 단체가 각종 정부 기관들을 뚫어내고 있다는 건 시사하는 바가 큽니다.”

3줄 요약
1. 2013년부터 인도 관련 조직들을 주로 공격해온 APT 그룹, 트랜스패런트 트라이브.
2. 주로 크림슨랫이라는 도구를 사용하다가 최근 들어 아미스라는 멀웨어로 바꿈.
3. 특별히 기술적으로 뛰어나지 않은 그룹인데도 공격 성공률 꾸준히 좋다는 건 당하는 사람의 문제일 수도.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)