posted by 알짜 정보 岳岩 2019.09.26 07:24

2004년부터 활동한 세드닛, 아직도 현역으로 활동하며 스스로 업그레이드 중
최근 시작한 스피어피싱 공격은 주로 동유럽과 중앙아시아 국가들 노려


[보안뉴스 문가용 기자] 세드닛(Sednit)이라고 알려진 APT 그룹이 새로운 스피어피싱 캠페인을 시작했다. 세드닛은 소파시(Sofacy), APT28, 팬시베어(Facy Bear)라고도 알려진 그룹이다. 이번 스피어피싱 캠페인은 정부 기관들을 목표로 하고 있으며, 제브로시(Zebrocy)라는 백도어를 퍼트리는 것이 최종 목적이다.

[이미지 = iclickart]


세드닛은 2004년부터 활동을 시작한 공격 단체로, 정보를 훔치기 위한 공작을 주로 진행했다. 정치적인 목적을 가지고 활동해왔으며, 미국 정부는 ‘러시아의 해킹 단체’라고 보고 있다. 특히 미국에서는 2016년 대선 당시 각종 해킹을 저지른 장본인으로 알려져 있다.

그런 세드닛이 8월 20일, 스피어피싱 메일을 발송하기 시작했다. 동유럽과 중앙아시아 국가들의 외교 관련 기관들이 주요 표적이었다. 보안 업체 이셋(ESET)에 의하면 이번 세드닛의 공격은 이전 공격과 조금 다른 면이 있다고 한다. “다운로더가 좀 더 고급스러워졌고, 백도어가 새로운 언어로 만들어져 있습니다. 스크린샷 저장 기능이 새롭게 추가되기도 했습니다.”

그래서 이셋은 “세드닛이 구시대적인 무기와 방법에 머물러있기를 거부하는 중”이라고 말한다. “세드닛 그룹은 말 그대로 ‘현대화’를 진행 중에 있습니다. 이전에 사용했던 코드를 다른 언어로 포팅하는 것이 대표적입니다. 멀웨어의 본질은 같으나 언어와 작성법이 바뀌어서 탐지가 잘 되지 않습니다. 예전 세드닛이 새로운 옷으로 갈아입고 있는 것이죠.”

세드닛이 최근 공격에 활용하고 있는 제브로시는 지난 8월 텔시(Telsy)의 보안 전문가들이 상세히 조사해 발표한 바 있다. 주로 이메일에 첨부된 악성 파일의 형태로 배포된다. 이메일은 동유럽이나 중앙아시아 국가의 외교 기관을 향해 발송되는데, 내용은 하나도 없다. 대신 드롭박스(Drobox)라는 파일 공유 서비스에 호스팅 된 템플릿(wordData.dotm)에 대한 레퍼런스만이 저장되어 있다. “이런 방식은 세드닛이 잘 보여주지 않던 것입니다.”

피해자가 이 악성 파일을 워드 프로그램을 통해 열면 템플릿이 다운로드 된다. 이 템플릿에는 악성 매크로가 담겨져 있는데, 이것이 피해자의 시스템에서 실행된다. 그러면서 다운로더들이 연쇄적으로 다운로드 되고 실행되는데, 제일 끝에는 시스템을 염탐하고 정보를 훔쳐내는 백도어가 설치된다.

“이 백도어의 가장 기본적인 기능은 35초마다 피해자의 컴퓨터에서 스크린샷을 찍어 저장하는 것입니다. 그러면서 C&C 서버로부터 내려오는 명령을 실행시키고, 각종 정보를 수집해 전송합니다.” 다운로더 중 하나는 님(Nim)이라는 언어로 만들어졌다는 변화도 있었다.

그 외에도 두 가지 눈에 띄는 변화는 다음과 같다.
1) 8월부터 다운로더가 설치된 이후 실행되는 파일이름의 첫 글자가 바뀌었는지 확인한다. 아마도 샌드박스 환경을 피해가기 위한 방법인 것으로 보인다.
2) 다운로더가 다운로드용 URL 문자열을 재구성한다. 이셋은 이것을 일종의 난독화 기술로 보고 있다.

다운로더의 DLL 페이로드(ospsvc.dll)도 변경이 있었다. 기존과 달리 고(Go) 언어로 만들어진 것이다. 여태까지 세드닛의 기존 DLL들은 주로 오토잇(AutoIt), 델파이(Delphi), 비주얼베이직넷(VB.NET), C#, 비주얼 C++ 등으로 작성됐다. “이번에 고 언어로 만들어진 다운로더는, 기존에 델파이로 작성된 것이 포팅된 것입니다.”

다운로더들은 세 가지 멀웨어를 다운로드 받는다. 이 중 두 개는 이전 세드닛의 캠페인에서도 그대로 발견된 바 있다. 마지막 하나는 완전히 새롭게 등장한 백도어다. 물론 새 백도어의 기능 자체야 기존 세드닛의 다른 백도어와 크게 다르지는 않다. “AES 알고리즘으로 데이터를 암호화 하는 기능은 새롭게 추가된 것입니다. 스크린샷 기능도 덧붙었고요.”

한편 8월 캠페인 이전인 6월에도 제브로시가 갑자기 막 퍼져나가는 걸 보안 업체 카스퍼스키(Kaspersky)가 발견한 바 있다. 당시에는 독일과 영국에서 가장 큰 피해가 발생했다. 또한 이 때에도 님으로 작성된 다운로더가 나타나기도 했다.

이셋은 이와 같은 내용을 발표하며 “이메일의 첨부파일은 항상 조심해야 하는 요소”라고 강조했다. 보안뉴스

3줄 요약
1. 러시아의 APT 그룹 세드닛, 새로운 스피어피싱 캠페인 시작.
2. 이번에는 동유럽과 중앙아시아 국가의 외교 기관들이 표적.
3. 공격에 사용하는 무기들, 부쩍 현대적으로 변모함.

댓글을 달아 주세요