Home > 전체기사

IIS 주의보! 뛰어난 실력의 해킹 그룹 ‘프레잉 맨티스’, 호주와 미국 공격

  |  입력 : 2021-07-28 20:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
첫 손에 꼽히는 실력을 가진 그룹 ‘프레잉 맨티스’가 작년 호주에 이어 미국까지 공격하고 있는 사실이 드러났다. 프레잉 맨티스의 배후에는 중국이 있는 것으로 의심되고 있지만 확실한 건 아니다.

[보안뉴스 문가용 기자] 작년 호주 기업과 정부 기관들을 집중해서 공격했던 공격 단체가 최근 미국 내 조직들을 대상으로 비슷한 공격을 시작한 것으로 보인다. 이들은 해킹 실력이 매우 뛰어난 자들로, 메모리에서만 작동하는 파일레스 멀웨어를 주력으로 사용하는 것으로 알려져 있다. 이 공격자들은 주로 프레잉 맨티스(Praying Mantis)로 불린다.

[이미지 = utoimage]


이들의 활동을 조사해 보고한 건 보안 업체 시그니아(Sygnia)였다. 이번 캠페인을 면밀히 분석했을 때 파악할 수 있었던 사안들이 지난 해 호주에서 벌어진 일들과 상당히 유사하다고 시그니아는 발표했다. “프레잉 맨티스라고 보이는 공격자들이 윈도 인터넷 정보 서비스(Internet Information Services, IIS) 환경과 웹 애플리케이션을 공격함으로써 피해자 네트워크에 최초로 침투할 수 있었습니다. 이는 지난 해 호주에서 발생한 공격 캠페인에서 발견된 내용이기도 합니다.”

시그니아는 “이번 캠페인은 최소 작년 6월부터 시작된 것으로 보인다”며 “정부 기관을 배후에 두고 움직이는 그룹의 소행일 가능성이 높다”고 주장한다. “공격자들은 기술력이 상당히 뛰어나고 공격 표적의 네트워크에 집요하게 머물러 있으려 합니다. 이 두 가지 특성은 국가 지원 해커들에게서 전형적으로 나타나는 것입니다. 아직 캠페인의 전체 규모를 파악하고 있지는 못하지만, 상당히 크다고 예상할 수 있게 해 주는 부분들이 있습니다.” 시그니아의 부회장인 아리 질버스타인(Arie Zilberstein)의 설명이다.

지난 해 호주에서 프레잉 맨티스의 대형 캠페인이 발생했을 때 일부 전문가들은 공격자가 중국 정부의 지원을 받고 있다고 주장했었다. 중국은 ‘집요한 사이버 정찰 행위’를 하는 것으로 잘 알려진 나라이며, 최근 미국과 동맹국들이 “해킹 공격을 그만두라”고 중국을 공식적으로 규탄한 바 있다. 중국 해커들은 실력도 뛰어나며 국가 발전의 목적을 이루기 위해 강한 동기를 가지고 공격을 실시하는 것으로 유명하다.

시그니아에 의하면 프레잉 맨티스의 주요 공격 전략은 “IIS와 웹 애플리케이션의 취약점을 익스플로잇 해서 피해자의 네트워크를 뚫어내는 것”이라고 한다. “애플리케이션이 직렬화 된 객체들을 발동시키는 방법을 악용하는 익스플로잇 기법을 특히 많이 사용합니다. 직렬화 프로세스가 불안전할 경우, 공격자는 악성 코드를 피해자의 시스템에서 실행시킬 수 있게 됩니다.”

프레잉 맨티스가 주로 익스플로잇 해왔던 취약점 중 하나는 CVE-2021-27852였다. 체크박스 서베이(Checkbox Survey)라는 웹 애플리케이션에서 발견된 제로데이 취약점이었다. 이 취약점을 통해 프레잉 맨티스는 IIS 서버들을 익스플로잇 했었다. 애플리케이션의 직렬화 프로세스와 관련된 취약점이었고, 공격자들은 성공적인 익스플로잇 후 악성 코드를 원격에서 실시할 수 있었다고 한다. 그 외에 CVE-2019-18935와 CVE-2017-11317 취약점도 자주 활용됐는데, 텔레릭(Telerik)이라는 회사가 만든 애플리케이션들에서 발견된 것들로 알려져 있다.

이런 식으로 최초 침투에 성공한 프레잉 맨티스는 피해자의 시스템 내 메모리에서 실행되는 멀웨어를 실행시키기 위한 작업을 진행한다. 이 멀웨어의 주요 기능은 ‘백도어’로, 인터넷에 연결된 IIS 서버들에서 정보를 수집해 공격자들에게로 전송한다. 또한 해당 서버들에서 접수되는 HTTP 요청들을 가로채기도 한다. 이 멀웨어는 IIS 서버들에서 잘 작동되도록 맞춤형으로 개발된 것으로 보인다고 하며, 따라서 흔적을 거의 남기지 않는다고 분석됐다.

그 외에도 프레잉 맨티스는 네트워크 정찰을 효과적으로 하게 하고, 권한을 상승시키며, 횡적으로 움직이게 해 주는 멀웨어들도 사용했다. 시그니아는 “공격자들은 윈도 IIS 환경에 대한 높은 수준의 지식을 보유하고 있는 것으로 보인다”며 “해킹 공격 자체에 대한 경험도 풍부한 것으로 보인다”고 발표했다. “심지어 파일레스 멀웨어를 제작할 자원도 가지고 있죠. 전 세계 공격자들 중 첫 손에 꼽혀도 이상하지 않을 실력입니다.”

질버스타인은 “해킹 공격이 굉장히 쉬워지고 수많은 사이버 범죄자들이 해킹 산업에 뛰어들고 있는데, 프레잉 맨티스 조직원들은 이런 ‘흔한 해커’와는 차원이 다른 실력을 가지고 있다”고 평가한다. “이들은 자신들의 흔적을 감추는 데 크게 집중합니다. 그렇기 때문에 처음부터 다시 침투를 이뤄가는 한이 있더라도 흔적 지우기에 더 몰두하기도 합니다. 이런 노력을 공격의 여러 단계에서 꾸준하게 보여줍니다. 이런 꼼꼼함은 어지간한 공격자들에게서는 나오지 않습니다.”

그러므로 프레잉 맨티스의 공격으로부터 스스로를 방어하는 건 꽤나 힘든 일이 될 수 있다고 질버스타인은 설명한다. “IIS 서버를 최신화 하되, 특별히 비직렬화 관련 취약점들을 중점적으로 패치하는 것이 중요합니다. 만약 체크박스 서베이 애플리케이션을 사용하는 조직이라면 이 역시 최신화 하는 것이 좋습니다. IIS 환경에서의 활동을 면밀히 모니터링 하는 것도 빼놓을 수 없습니다.”

3줄 요약
1. 작년 호주 공격했던 공격 단체, 이번에는 미국 공격 실시.
2. 프레잉 맨티스라는 수준 높은 공격 단체가 의심되고 있음.
3. 프레잉 맨티스는 중국 정부의 지원을 받는 해커로 의심되고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)