세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
위기의 중동, 안드로이드와 iOS 기기 노리는 캠페인 발견돼
  |  입력 : 2018-05-17 18:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
안드로이드와 iOS 기기 노리는 고도의 표적화 공격
가장 의심되는 곳은 파키스탄... 이유는 아직 알 수 없어


[보안뉴스 문가용 기자] 중동 지역의 인사들과 단체를 겨냥한 사이버 스파이 캠페인이 발견됐다. 안드로이드와 iOS 기기들을 노리는 피싱 공격 형태로 현재 나타나고 있다고 한다. 보안 업체 룩아웃 시큐리티(Lookout Security)가 발견한 것으로, 공격자들은 스텔스 망고(Stealth Mango)라는 툴을 사용해 현재까지 약 30 기가바이트의 데이터를 수집했다고 발표했다.

[이미지 = iclickart]


“수집된 데이터는 통화 기록, 오디오 녹음 파일, 기기 위치 정보, 문자 메시지 등입니다. 고도의 표적화된 캠페인으로, 파키스탄 군부대와 관련이 있는 단체나 인물의 소행으로 보입니다. 현재까지 정부 요원, 군 요원, 의학 분야 종사자들이 사용하는 모바일 기기들을 겨냥해 감시 툴을 성공적으로 심어온 것으로 분석됐습니다.” 룩아웃의 설명이다.

스텔스 망고는 일단 기기 침투에 성공한 후, 기기 내 모든 데이터를 업로드 한다. 그런 후 시스템 내에 머물러 있다가 변화가 생길 때마다 이를 추적한다. “심카드가 바뀐다든지, 사진이나 오디오 파일이 추가된다든지, 새로운 연락처가 저장되거나 삭제될 때마다 이를 파악해 냅니다.”

스텔스 망고는 최근 몇 달 동안 여러 단계에 걸쳐 향상되어 왔다고 한다. 2018년 2월에 발견된 버전은 키로깅, 스크린샷 저장, 화면 기록 기능을 통해 사용자를 실시간으로 추적할 수 있었다. 또한 서드파티 소셜 미디어 앱들의 메시지 데이터베이스에도 접근이 가능했다. 이런 기능 하나하나가 새로운 버전이 나올 때마다 추가된 것이라고 룩아웃은 설명한다.

현재까지 약 100대의 기기가 스텔스 망고에 감염된 것으로 나타났는데, 대부분 파키스탄, 아프가니스탄, 인도, 이라크, UAE의 정부 및 군 요원 혹은 활동가들의 것이라고 한다. 미국과 독일처럼, 중동 지역에 있지 않은 국가의 주요 인사에 관한 정보도 일부 도난당했다.

룩아웃은 스텔스 망고를 사용하는 공격자들이 트란스패런트 트라이브 작전(Operation Transparent Tribe)과 씨메이저 작전(Operation C-Major)과 관련이 있다고 보고 있다. 이 두 작전은 사우디아라비아와 카자흐스탄에 주재한 인도 대사관과 인도 군을 표적으로 한 사이버 스파이 공격이었다.

공격자들은 어떻게 노리는 인물들의 모바일 기기를 감염시켰을까? 룩아웃은 “현재까지 드러난 정보와 정황을 보면 피싱과 워터링홀 전략이 사용된 것으로 보인다”고 답한다. “페이스북 메신저를 통해 워터링홀 공격에 사용될 URL이 전송되는 것을 발견한 바 있습니다. 아마 소셜네트워크에서 가짜 인물을 만들어 표적들에 접근한 것으로 보입니다. 친해진 이후 멀웨어를 설치하도록 유도했을 가능성이 높습니다.”

피해자가 URL을 클릭하면 서드파티 안드로이드 앱 스토어로 이동된다. APKMonk라는 이름을 가진 앱 스토어(secure-apps.azurewebsites.net)인데, 사실 이는 가짜다. 이 사이트에서 링크를 클릭할 경우 스텔스 망고 APK로 우회 접속된다. 룩아웃은 MS와 함께 이 워터링 홀 사이트를 폐쇄했으며, 관련 계정을 영구 차단시켰다고 한다.

또한 공격자들이 다양한 커스텀 툴을 사용하고 있다는 것도 발견해냈다. “예를 들어 스텔스 망고의 iOS 버전인 탄젤로(Tangelo)가 이들이 사용하는 커스텀 멀웨어입니다. 안드로이드 버전인 스텔스 망고나 탄젤로 모두 같은 개발자가 만든 것으로 보입니다. 현재까지 탄젤로를 포함한 커스텀 멀웨어들이 시험 단계인지 실제 공격에 활발히 활용되고 있는지는 불확실합니다.”

룩아웃은 왜 이번 캠페인과 파키스탄 군부대를 관련지었을까? “파키스탄 군부대와 관련이 있는 개발 단체가 만든 것으로 분석되며, 이들은 현재 파키스탄, 인도, 미국에 거주하는 것으로 보입니다. 공격자 인프라의 서버 사이드 로그를 분석했을 때 세 개의 IP 주소가 나왔는데, 전부 수도인 이슬라마바드의 한 지역과 관련이 있었습니다.”

분석을 이어가면서 룩아웃은 놀라운 점을 발견했다. “공격 인프라를 조사하던 중에 두 개의 IP 주소를 발견했는데, 서버가 활짝 열려있더군요. 공격에 열중한 나머지 스스로를 감추거나 보호하는 것을 잊어버린 듯한 모습이었습니다. 그 결과 이들이 훔쳐간 정보는 자신들만이 아니라 온 세상 모든 인터넷 사용자에게 노출되었습니다.”

또한 WSO 웹셸을 이용한 인프라도 발견됐다. “이 말은 서버에 대한 완전 통제권을 외부인이 가져갈 수 있다는 것입니다. 이 역시 공격자들이 보안에 취약하다는 걸 보여주거나, 누군가에게 실제로 통제권을 넘겨주기 위한 것으로 보입니다.”

이 공격이 언제부터 시작됐는지는 정확히 알 수가 없다. 하지만 첫 발견은 올해 1월 중순이었다고 한다. 스텔스 망고의 가장 최신 버전은 4월에 나타났다. “현재는 이 캠페인의 공격 인프라가 오프라인 상태인 것으로 보입니다. 하지만 완전히 사라진 것으로 보이진 않습니다. 또 다른 공격 툴이나 전략이 구비되었을 때 다시 나타날 것으로 예상합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
오는 7월부터 근로시간이 주 52시간으로 단축되는 조치가 점차적으로 시행됩니다. 이번 조치가 보안종사자들과 보안업계에 미칠 영향은?
보안인력 확충과 워라벨 문화 확산으로 업계 근로여건 개선
보안인력 부족, 인건비 부담 상승으로 업계 전체 경쟁력 약화
기타(댓글로)