Home > 전체기사

MS 원드라이브가 공격자들의 C&C? 새로운 전략 선보인 APT 단체

  |  입력 : 2022-01-26 16:07
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
러시아의 팬시베어로 추정되는 한 APT 단체가 지정학적인 동기로 사이버 공격을 실시하는 과정에서 MS의 원드라이브를 C&C로 활용하는 모습을 보였다. 이런 식으로 클라우드 서비스를 활용하는 건 굉장히 보기 드문 일이라고 한다.

[보안뉴스 문가용 기자] 마이크로소프트의 원드라이브 서비스를 C&C로 활용하는 전략이 등장했다. 그것도 고위급 정부 요원 및 국방 요원들을 겨냥한 캠페인에서 이 새로운 전략이 활용되는 것이 발견됐다. 공격의 배후에는 정부의 지원을 받는 APT 단체가 있을 가능성이 높아 보이며, 공격 피해 발생 지역은 명확히 공개되지 않고 있다.

[이미지 = utoimage]


보안 업체 트렐릭스(Trellix)에 의하면 이 공격을 진행하는 건 APT28 혹은 팬시베어(Fancy Bear)라는 단체일 가능성이 높다고 한다. 하지만 확신을 할 수 있는 단계는 아니다. 팬시베어는 이전에 미국 정부가 러시아 군과 관련이 있는 단체라고 발표한 바 있다. 트렐릭스의 분석 데이터에 의하면 이번 캠페인의 배후 세력이 폴란드와 동유럽 국가들에도 관심을 보이고 있다고 한다.

공격은 악성 엑셀 파일로부터 시작한다. 공격 대상들에게 엑셀 파일이 첨부된 악성 메일을 보내는 것으로, 이 파일에는 CVE-2021-40444라는 취약점을 익스플로잇 하는 기능을 가지고 있다. CVE-2021-40444는 MSHTML에서 발견된 치명적인 위험도의 원격 코드 실행 취약점이다. 이 취약점은 지난 9월 제로데이 상태로 발견됐었고, MS는 부랴부랴 패치를 개발해 배포했었다.

이 취약점을 익스플로잇 하면 악성 DLL 파일이 시스템 내 메모리에서 실행된다. 그런 후 3단계 멀웨어 요소들이 피해자의 시스템으로 다운로드 되기 시작한다. 트렐릭스는 이 멀웨어 요소를 그래파이트(Graphite)라고 부른다. 놀라운 건 이 그래파이트 멀웨어가 원드라이브 계정들을 C&C 서버로 활용한다는 것이다. 이 때 마이크로소프트 그래프 API(Microsoft Graph API)가 MS 클라우드 서비스에 접근하는 데에 사용된다.

트렐릭스가 분석한 바에 의하면 그래파이트 멀웨어가 그 자체로 DLL 실행파일이며, 엠파이어(Empire)라는 오픈소스 원격 관리자 프레임워크에 기반을 두고 있다고 한다. 디스크에 아무런 흔적을 남기지 않는 ‘파일레스 멀웨어’ 공격을 실시하게 해 주며, 이를 통해 공격자는 원격에서 시스템을 제어할 수 있게 된다.

트렐릭스의 수석 과학자인 크리스티안 비크(Christiaan Beek)는 “클라우드를 공격에 활용하는 사례가 없던 건 아니지만 아예 C&C 서버 대용으로 클라우드 서비스를 이용하는 건 처음 보는 전략”이라고 설명한다. “MS의 원드라이브와 같은 유명 서비스를 C&C로 활용함으로써 공격자들은 감염된 기기와 빠르게 통신 연결을 구성할 수 있습니다. 원드라이브와의 동기화 기능을 통해 암호화 된 명령어를 실행시킬 수도 있게 되고, 공격을 통해 얻어낸 정보를 원드라이브에 편리하게 저장할 수도 있습니다.”

이번 캠페인은 기본적으로 다단계로 시스템을 감염시키며, 여러 가지 측면에서 공격 탐지가 까다로울 수밖에 없도록 구성되어 있었다. 하지만 탐지가 불가능한 것은 아니며, 탐지 시스템을 제대로 설정해 가동시킨다면 악성 행위를 발견할 수 있다고 비크는 강조했다. “공격자들은 최대한 눈에 띄지 않기 위해 갖가지 수를 부립니다. 하지만 아무리 잘 숨어 있더라도 어느 순간에는 감염된 시스템과 외부의 공격자들 간 통신이 이뤄질 수밖에 없습니다. 그런 순간을 XDR 기술로 탐지하는 건 얼마든지 가능한 일입니다.”

미끼로 사용된 문건이나 기타 다른 정보들을 봤을 때 APT28의 이번 캠페인은 정부 기관과 군사 시설 및 단체들을 겨냥한 것으로 추정된다. ‘의회’, ‘군 예산’과 같은 키워드들이 피싱 문건 제목에 많이 차용된 모습을 보이기 때문이다.

또한 트렐릭스의 연구원들은 이번 캠페인에 사용된 호스트 컴퓨터 두 대를 찾아내는 데에도 성공했다. 그 중 하나는 IP 주소를 추적했을 때 세르비아에 있는 것으로 밝혀졌고 다른 하나는 스웨덴이 있는 것으로 조사됐다. 세르비아의 컴퓨터에는 MSHTML 취약점 익스플로잇과 2단계 악성 DLL이 호스팅되어 있었다. 스웨덴에 있는 컴퓨터의 경우 엠파이어가 호스팅되어 있는 것으로 분석됐다.

이 캠페인은 최소 2021년 7월부터 진행된 것으로 보인다. 가장 공격이 심했던 때는 9월과 11월인 것으로 나타났다. 아르메니아와 아제르바이잔 사이의 분쟁이 심화된 시기다. 공격자들은 지정학적 혹은 정치공학적 이득을 위해 공격을 실시했을 가능성이 높아 보인다고 트렐릭스는 추정하고 있다. 현재 공격의 피해자들로 조사된 기관들에는 따로 연락이 간 상태고, 각 기관들에서는 악성 요소들을 삭제하는 작업이 한창 진행되고 있다고 한다.

3줄 요약
1. MS의 원드라이브를 C&C로 활용한 공격 캠페인 발견됨.
2. 그 외에도 세르비아와 스웨덴에서도 호스팅 컴퓨터 2대가 발견됨.
3. 공격자는 러시아? 공격 동기는 정부와 군 기관에서 정보 빼돌리는 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)