Home > 전체기사
러시아 해킹 그룹, 라이트뉴론 가지고 MS 익스체인지 서버 공격
  |  입력 : 2019-05-09 11:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
침해한 서버로 드나드는 이메일 모두 열람과 조작 가능케 하는 멀웨어
지난 해에도 비슷한 내용의 보고서 나와...털라와 라이트뉴론, 관련 있는 듯


[보안뉴스 문가용 기자] 러시아 정부와 관련이 있는 해킹 그룹 털라(Turla)가 고급 백도어를 사용해 마이크로소프트 익스체인지(Microsoft Exchange) 메일 서버들을 공격했다고 보안 업체 이셋(ESET)이 발표했다.

[이미지 = iclickart]


문제의 멀웨어는 라이트뉴론(LightNeuron)이라는 것으로, 공격자들이 침해한 서버로 통과되는 모든 이메일을 열람하고 조작할 수 있게 해주는 기능을 가지고 있다. 뿐만 아니라 공격자들이 새로운 이메일을 만들고 보내거나, 들어오는 이메일을 차단하는 것도 가능하다.

털라는 워터버그(Waterbug), 크립튼(KRYOPTON), 베노머스 베어(Venomous Bear)라는 이름으로도 불리는데, 이셋에 의하면 최소 2014년부터 라이트뉴론을 사용해 마이크로소프트 익스체인지 서버들을 노려왔다. 이셋이 여태까지 발견한 샘플은 윈도우용이었지만, 여러 가지 정황을 봤을 때 리눅스 버전도 존재하는 것으로 보인다고 한다.

이셋은 라이트뉴론의 표적이 된 조직을 세 군데 찾아냈다. 이름을 밝히지는 않았지만 하나는 동유럽 국가의 외무부, 두 번째는 중동의 외교 관련 부서, 세 번째는 브라질에 있는 조직이라고 한다. 브라질 단체의 경우 바이러스토탈(VirusTotal)로 업로드 된 샘플을 통해 공격이 발생한 것을 알아내긴 했지만, 정확히 어떤 조직이 당했는지는 파악하지 못한 상태다.

이셋의 연구원들에 의하면 라이트뉴론은 공격을 지속시키기 위해 특이한 기술을 하나 사용하고 있다고 한다. 이전에 한 번도 발견된 적이 없는 기술이다. “일종의 수송 에이전트(transport agent)를 활용하고 있습니다. 수송 에이전트를 통해 공격자는 익스체인지 서버들에 자기가 원하는 소프트웨어를 설치할 수 있게 됩니다.”

라이트뉴론은 스팰 차단기나 기타 보안 제품들과 동일한 권한으로 실행된다고 한다. 또한 공격자들은 특수하게 조작된 PDF 문서들이나 JPG 이미지 파일들이 첨부된 이메일들을 사용해 라이트뉴론을 제어한다. “라이트뉴론은 이런 특수한 이메일들을 탐지하고 PDF와 JPG로부터 명령을 추출합니다.”

라이트뉴론이 지원하는 명령어들은 서버에 대한 통제권을 공격자에게 넘겨주기에 충분하다. “파일을 쓰고 실행하고 삭제하고 빼내는 것도 명령에 포함되어 있습니다. 프로세스와 각종 명령어를 실행하고, 백도어를 몇 분 동안 비활성화시키는 것도 가능하고요.”

작년 이셋은 털라가 마이크로소프트 아웃룩을 공략하기 위해 사용한 백도어에 대해 세부적으로 발표한 바 있다. 라이트뉴론은 아니었지만, PDF 파일이 첨부된 이메일로 C&C 서버와 통신한 것은 같았다.

이셋이 라이트뉴론 멀웨어와 털라를 연관시킨 것에는 몇 가지 이유가 있다. “침해된 익스체인지 서버들에 그동안 알려진 털라의 멀웨어들이 함께 발견되었습니다. 또한 공격에 사용된 파일 이름들이 털라가 이전 공격에 사용했던 파일 이름들과 비슷합니다. 심지어 털라만 사용한다고 알려진 패커가 사용되기도 했습니다.”

보안 업체 카스퍼스키 랩(Kaspersky Lab)이 작년 발표한 APT 트렌드 보고서에도 라이트뉴론에 대한 내용이 포함되어 있다. 카스퍼스키도 라이트뉴론이 털라의 멀웨어라고 짚었었다. 당시 라이트뉴론의 피해자들은 중동과 중앙아시아에 집중되어 있었다.

이셋은 그 외에도 익스체인지 서버가 침해되고, 침해된 서버에 명령이 전달된 시간이 모스코바의 근무 시간대와 겹친다는 것도 파악해냈다. 공격이 2018년 12월 28일과 1월 14일 사이에는 중단됐었는데, 이는 러시아인들이 크리스마스와 새해 휴가로 일을 쉬는 때라고 한다.

3줄 요약
1. 러시아의 해킹 그룹 털라, 라이트뉴론이라는 멀웨어 사용해 익스체인지 서버 공략.
2. 침해된 서버로 통과되는 모든 이메일은 공격자가 열람하고 조작할 수 있음.
3. 지난 해에도 비슷한 연구 결과가 나온 바 있음. 라이트뉴론과 털라의 연관성 갈수록 깊어짐.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)