Home > 전체기사
이란의 해커들, 반체제 인사 감시 위해 6년 간 은밀히 염탐해
  |  입력 : 2020-09-22 17:55
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
램펀트 키튼, 현재 정권에 우호적인 해킹 그룹...반체제 인사들 감시해와
가짜 오피스 문서부터 다단계로 이뤄지는 공격...텔레그램 크리덴셜이 주 목표


[보안뉴스 문가용 기자] 개인 장비에서 민감한 데이터를 훔쳐내기 위한 대규모 감시 캠페인이 발견됐다. 공격자들은 브라우저 크리덴셜과 텔레그렘 애플리케이션의 파일들을 주로 가져갔다고 한다. 이 공격자들은 안드로이드 멀웨어를 사용해 이중인증에 필요한 보안 코드들도 수집했으며, 구글 계정을 통한 피싱 공격도 감행했다.

[이미지 = utoimage]


이 공격을 실시한 건 램펀트 키튼(Rampant Kitten)이라는 단체로, 이란의 단체들을 겨냥해 최소 6년 동안 이 캠페인을 진행해 왔다고 한다. 특히 이란의 소수자 커뮤니티나 반정권 단체들이 공격 대상으로, 정부에 도움이 되는 공격을 일삼고 있다. 다양한 해킹 도구를 사용할 줄 아는데, 이번 캠페인에서 발견된 건 다음과 같다.

1) 윈도용 정보 탈취 멀웨어 4개 : 텔레그램과 키패스(KeePass) 계정 정보를 노림
2) 텔레그램을 그대로 흉내 낸 피싱 페이지들
3) 이중인증 코드를 SMS에서 추출해 내는 안드로이드 백도어
4) 핸드폰 주변의 소리를 저장하는 녹음 도구

이들을 발견한 보안 업체 체크포인트(Check Point)는 “공격자들이 무려 6년 이상 아무에게도 발각되지 않고 크리덴셜을 수집해 왔다”며 “다양한 방법을 동원해 자신들이 원하는 훔쳐갈 수 있는 능력을 가지고 있다”고 설명했다.

체크포인트가 가장 먼저 발견한 건 한 문서였다. 제목은 “왕국은 혁명대포단이 확산되는 것을 두려워하고 있다”였다. 피싱 문서인 건 확실한데, 어떻게 퍼지는지는 아직 불확실하다. 다만 제목에서 드러나는 것처럼 혁명대포단(현재 정권에 반대하는 운동)을 지지하는 것처럼 꾸며져 있다.

피해자가 이 문서를 받아 열면, 원격 서버로부터 문서 템플릿이 로딩된다. 로딩이 시작되는 곳은 afalr-sharepoinnt.com이라는 곳으로, 이란 반체제 인사들을 지원하는 비영리 단체인 것처럼 위장하고 있는 사이트다. 로딩된 템플릿은 악성 매크로 코드를 다운로드 받고, 이 매크로는 배치 스크립트를 실행시킨다. 다시 이 배치 스크립트는 다음 단계의 페이로드를 다운로드 해서 실행시킨다. 이 페이로드의 기능은 텔레그램 메신저 서비스가 피해자의 장비에 설치되어 있는지 확인하는 것으로, 텔레그램이 있다면 세 가지 실행파일을 추출해낸다.

세 가지 실행파일은 다음과 같다.
1) 정보 탈취 멀웨어 : 텔레그램 파일들과, 키패스(KeePass) 비밀번호 관리 애플리케이션으로부터 정보를 훔쳐낸다.
2) 파일 업로더 : 피해자의 시스템에서 찾아낸 것들을 업로드 한다. 파일들에 공격자가 미리 설정한 확장자를 붙인다.
3) 클립보드 공격기 : 클립보드의 데이터를 저장하고 데스크톱 스크린샷을 찍어 보관한다.

체크포인트는 이 멀웨어를 추적하면서 여러 가지 버전들을 발견할 수 있었다. 가장 오래된 건 2014년이라는 타임스탬프가 찍혀 있었다. 텔레그램은 물론 크롬, 파이어폭스, 에지와 같은 브라우저에서도 정보를 빼냈으며 그 외에 오디오 장비를 공격하고 키로깅 등을 통해 정보를 훔친 사례도 있었다.

그 외에 램펀트 키튼의 것으로 보이는 또 다른 악성 안드로이드 애플리케이션도 발견됐다. 이 앱의 경우 스웨덴에 사는 페르시아인들이 운전 면허를 딸 수 있도록 도와주는 앱인 것으로 위장되어 있었다. 하지만 실상은 문자메시지에서 이중인증과 관련된 메시지를 훔쳐내는 기능을 가지고 있었다. 이 정보는 공격자가 제어하고 있는 전화번호로 전송됐다.

“재미있는 건 이 악성 앱은 G-로 시작하는 모든 문자를 빼돌렸다는 겁니다. 주로 구글의 이중인증 코드가 G로 시작하죠. 공격자들이 피해자의 구글 계정을 노렸다는 뜻이 됩니다.” 구글 계정에 저장된 연락처나 그 외 개인정보가 표적이었던 것으로 예상된다. 이 앱이 경우 두 가지 변종이 현재까지 발견됐다. 하나는 실험용, 하나는 실전용이었다고 한다.

이란은 지속적으로 현재 정권에 반대하는 자들을 감시 및 공격하고 있다. 국제 제재로 어려워진 상황 속에서 내부 단속을 하기 위함이다. “이란은 정부가 지원하는 해커들을 통해 해외의 세력만이 아니라 내부의 세력까지 없애려 합니다. 정권 유지 자체가 목적인 나라에서 자주 나오는 현상이죠.” 최근 이란 해커들은 북한의 라자루스처럼 돈을 벌기 위한 목적으로 사이버 공격을 펼치기도 했었다.

3줄 요약
1. 이란의 램펀트 키튼, 각종 장비 동원해 피해자 감시하며 텔레그램 크리덴셜 빼돌림.
2. 무려 6년 동안이나 진행되었던 공격. 아무도 몰랐음.
3. 그 외에 이중인증 장치를 뚫고 구글 계정 침해하려는 시도도 발견됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상