Home > 전체기사
러시아의 해커들, MS가 예상 못한 윈도우 취약점 노렸다가
  |  입력 : 2020-03-30 15:33
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
TA505, 돈을 벌기 위한 해킹 공격 실행하는 단체...1월에는 윈도우 노려
얼마 전에는 가짜 이력서를 인사부에 전송하는 기법으로 독일 기업들 공략


[보안뉴스 문가용 기자] 금전적인 이득을 거두고자 움직이는 해커들이 최근 서유럽의 기업들을 공격했다. 이 공격자들은 러시아 혹은 동유럽에 근거지를 마련하고 악행을 벌이는 것으로 추정되며, MS가 실제 익스플로잇 되리라고 예상하지 못했던 윈도우 취약점을 노린 것으로 밝혀졌다.

[이미지 = iclickart]


싱가포르의 보안 업체인 그룹IB(Group-IB)에 의하면 공격을 실시하고 있는 그룹은 TA505로, 이블코프(Evil Corp)나 사일런스(Silence)라는 이름으로도 불린다. 지난 1월 독일과 벨기에의 제약 및 제조사를 공격하고 있는 TA5050의 흔적을 그룹IB가 발견했으며, 공격에 사용된 도구 때문에 TA505가 강력히 의심되는 상황이라고 밝혔다.

이 캠페인에서 공격자들이 사용했던 인프라를 분석했을 때, comahawk.exe라는 실행파일이 발견됐었다. 두 개의 로컬 권한 익스플로잇이 결합되어 있는 것이었고, 윈도우를 표적으로 삼고 있었다.

윈도우를 표적 삼았다는 건 보다 정확히 말해 두 가지 윈도우 취약점을 노렸다는 건데, 이는 CVE-2019-1405와 CVE-2019-1322를 말한다. 2019년 10월과 11월에 패치가 된 취약점으로 당시 MS는 권고문을 통해 “실제 익스플로잇이 이뤄질 가능성은 낮다”고 말했었다.

2019년 11월 중순, 보안 업체 NCC 그룹(NCC Group)은 자사 블로그를 통해 해당 취약점에 대한 상세 정보를 공개했고(애초에 NCC 그룹이 발견해 MS에 알렸었다), 얼마 지나지 않아 코마호크(COMahawk)라는 익스플로잇이 공개되기도 했었다. 이 익스플로잇은 CVE-2019-1405와 CVE-2019-1322를 노리는 것으로 밝혀졌다.

그룹IB가 발견한 comahawk.exe 파일이 바로 이 공개 익스플로잇이며, 공격자들이 익스플로잇을 복사해서 이번 캠페인에 실제로 활용한 것으로 여겨진다. 여기까지가 지난 1월까지 알려진 내용이다.

TA505는 원래 다양한 멀웨어를 사용하는 것으로 유명한 단체다. 드리덱스(Dridex)와 같이 널리 알려진 뱅킹 트로이목마는 물론 록키(Locky) 랜섬웨어도 적극 활용한다. 이번 캠페인에 당한 독일과 벨기에의 기업들 역시 랜섬웨어 공격에 당했거나 보다 큰 규모의 공급망 공격의 일환으로 당했을 가능성이 높아 보인다.

그리고 두 달 정도가 지난 3월, 사이버 보안 업체인 프리베일리온(Prevailion)이 TA505로 보이는 세력이 독일 기업들을 공격했다는 내용의 보고서를 발표했다. 이에 의하면 공격자들은 주로 트로이목마를 심은 악성 이력서를 통해 멀웨어를 퍼트리고 있으며, 따라서 공격은 인사부서로부터 시작되는 것이 보통이라고 한다.

지난 2019년 8월 그룹IB가 공개한 바에 따르면 TA505는 2018년 9월부터 약 350만 달러의 돈을 1년여 동안 훔쳐내는 데 성공했다고 한다. 당시 발표된 자료에 따르면 TA505는 유럽, 남미, 아프리카, 아시아의 30개국에서부터 ‘사이버 은행털이’를 일삼고 있었다. 따라서 이번에 프리베일리온이 발표한 내용이 맞다면(즉, TA505가 기업의 인사부를 노리고 가짜 이력서를 보내는 것이 사실이라면) TA505의 주요 공격 전략이 바뀐 것을 의미할 수도 있다고 그룹IB는 분석하고 있다.

코마호크 익스플로잇에 관한 상세 내용은 여기(https://fortiguard.com/threat-signal-report/3243/new-proof-of-concept-combining-cve-2019-1322-and-cve-2019-1405-developed-1)서 열람이 가능하다.

3줄 요약
1. 오로지 돈을 벌겠다는 일념으로 여러 멀웨어를 사용하는 러시아의 공격 단체 TA505.
2. 최근에는 윈도우의 두 가지 취약점을 겨냥한 공격을 통해 유럽 기업들에 피해 입힘.
3. 더 최근에는 가짜 이력서를 인사부서로 보내는 전략을 통해 독일 기업들 공략.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)