'2019/09/27'에 해당되는 글 5건

  1. 2019.09.27 정체불명의 APT 그룹 토토이즈셸, 악성 웹사이트 운영 중
posted by 알짜 정보 岳岩 2019.09.27 07:50

사우디의 대규모 IT 네트워크 공격한 후 전역 군인 위한 웹사이트 호스팅 해
웹사이트는 가짜...접속하면 각종 악성 도구와 코드들이 설치되기 시작


[보안뉴스 문가용 기자] 국가의 지원을 받는 한 해킹 그룹이 사우디아라비아의 IT 서비스 제공업체와 그 네트워크를 공격했다. 그리고 이를 활용해 가짜 웹사이트를 호스팅함으로써 다음 단계의 공격에 활용하는 모습을 보였다. 이 캠페인에 걸려든 피해자들의 시스템에는 각종 스파이 행위용 도구들과 악성 코드가 심겼다.

[이미지 = iclickart]


문제의 해킹 단체는 지난 주 보안 업체 시만텍(Symantec)이 밝힌 ‘토토이즈셸(Tortoiseshell)’이며, 사우디아라비아의 대형 IT 서비스 기업들의 네트워크와 공급망을 종횡무진 누비고 다니며 표적 공격을 일삼는 것으로 알려져 있다. 보안 업체 크라우드스트라이크(CrowdStrike)는 이들을 임페리얼 키튼(Imperial Kitten)이라고 부르며, 이란인들로 구성되어 있다고 보고 있다.

최근 시스코(Cisco)의 탈로스(Talos) 보안 팀은 토토이즈셸이 ‘군 영웅을 모집한다(Hire Military Heroes)’는 웹사이트를 호스팅하고 있는 걸 발견했다. 이 웹사이트는 클린트 이스트우드 감독의 ‘아버지의 깃발(Flags of our Fathers)’이라는 영화의 이미지를 전면에 사용하고 있었다. 사이트에 접속하면 방문자더러 앱을 하나 다운로드 받아야 한다고 요구한다. 이 앱은 사실 추가 멀웨어를 다운로드 하는 ‘다운로더 멀웨어’다.

다운로더는 설치된 후 피해자의 시스템으로부터 각종 정보를 수집한다. 스크린 화면 크기까지도 수집함으로써 실제 환경에서 돌아가고 있는지, 아니면 샌드박스에서 실행되고 있는지 확인하려 한다고 탈로스 팀은 설명한다. 토토이즈셸의 또 다른 도구로는 이비즈테크(IvizTech)라는 RAT도 있다. 일종의 백도어로, 시만텍이 보고서를 통해 상세히 공개한 바 있다.

그러나 아직까지 토토이즈셸이 어떤 식으로 피해자들을 꼬드겨 멀웨어를 설치하도록 하는지는 명확하게 밝혀지지 않고 있다. 또한 크라우드스트라이크 말고는 토토이즈셸의 국적을 명확히 밝히고 있지도 않다. 배후에 있는 국가를 명확히 하기에는 아직 증거가 더 필요하다는 게 시만텍과 시스코의 입장이다.

또 하나 의아한 건 토토이즈셸이 어떤 면에서는 발전된 모습을 보이는데, 또 어떤 면에선 허술한 모습을 보인다는 것이다. 사실 공격력에 비해 스스로의 모습을 감추는 데는 미흡한 구석이 많아 여러 보안 업체가 추적을 할 수 있는 것이기도 하다. “토토이즈셸이라는 이름 아래서 여러 팀을 기능별로 운영하고 있는 것으로 보입니다. 그런데 실력이 고르게 분포되지는 않은 듯합니다.”

시스코 탈로스 팀의 연구원인 폴 라스카그네레스(Paul Rascagneres)는 “공격이 광범위하게 퍼진 것으로 보이지는 않는다”며 “아직 탄생한 지 얼마 되지 않은 APT 단체일 가능성이 높다”고 말한다. “토토이즈셸은 요 근래 꽤나 공격적으로 활동하고 있습니다. 가짜 웹사이트를 만들어 피해자들을 유혹하기도 하는데, 아마 다른 소셜 엔지니어링 공격 기법도 활용하고 있을 가능성이 높습니다. 또한 무기의 양도 점진적으로 증가하고 있습니다.”

크라우드스트라이크는 이들이 “2017년부터 활동해왔다”는 입장이다. 그러면서 “사우디아라비아와 UAE, 서방 국가를 주로 표적으로 삼는다”고 설명한다. “IT 서비스, 국방, 군 요원 등이 구체적인 공격 대상입니다. 공격의 궤적을 좇다보면 이들이 이란 정부의 이득과 관련된 행위를 주도적으로 한다는 걸 알 수 있습니다.” 크라우드스트라이크의 부회장인 아담 메이어스(Adam Meyers)의 설명이다. “이들은 이번 달에도 활발히 공격을 펼쳤습니다.”

시스코는 “이들이 가짜 웹사이트를 호스팅해서 공격에 활용하기 시작했다는 건 꽤나 큰 변화”라고 지적한다. ‘왜냐하면 낚싯대를 드리운 게 아니라, 그물을 넓게 펼친 것과 다름이 없으니까요. 이들이 지금 호스팅한 웹사이트는 전역 군인과 장군들을 위한 사이트처럼 보입니다. 미국인들이 많은 관심을 보이는 분야죠. 군인들에 대한 미국인들의 지원 심리는 유명하죠. 공격자들이 이걸 모르고 클린트 이스트우드의 전쟁 영화를 표지에 내걸지 않았을 겁니다.“ 보안뉴스

3줄 요약
1. 사우디아라비아의 IT 서비스 업체가 해킹됨.
2. 해킹한 네트워크를 가지고 공격자들은 악성 웹사이트를 호스팅 함.
3. 이 사이트에 접속하면 각종 스파이 도구가 설치됨.

댓글을 달아 주세요