Home > 전체기사
여러 산업으로 퍼지고 있는 쾀퍼스, 의료 산업의 자료 빼간다
  |  입력 : 2020-04-01 18:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
배후에는 오랜지웜이라는 그룹 있는 것으로 의심돼...다양한 산업 노려온 일당
최근 의료용 이미징 기술 가진 조직들에 표적 공격 실행 중...3년 동안 정찰하기도


[보안뉴스 문가용 기자] 쾀퍼스(Kwampirs)라는 멀웨어가 여러 산업으로 퍼지고 있다고 미국의 FBI가 경고했다. 쾀퍼스는 일종의 백도어로, 오렌지웜(Orangeworm)이라는 공격 단체와 관련이 있는 것으로 알려져 있다. 오렌지웜은 2015년부터 활동해온 그룹이고, 쾀퍼스가 처음 발견된 건 2018년이다.

[이미지 = iclickart]


FBI에 의하면 쾀퍼스의 전신이라고 볼 수 있는 쾀퍼스 원격 접근 트로이목마(Kwampirs RAT)는 2016년부터 의료, 소프트웨어 공급망, 에너지, 엔지니어링 산업을 공격해왔으며, 미국, 유럽, 아시아, 중동 등에서 고루 발견되어 왔다고 한다. 금융 산업과 법률 전문 기관 중 일부도 이에 당한 바 있다.

그나마 다행이라면 쾀퍼스에는 파괴나 데이터 삭제를 위한 모듈이 포함되어 있지 않다는 것이다. 그러나 FBI는 “기존에 나타났던 파괴형 멀웨어인 디스트랙(Disttrack) 혹은 샤문(Shamoon)과 상당 부분 비슷한 코드가 발견되고 있어 주의를 요한다”고 경고했다. 현재 이 쾀퍼스는 세계 곳곳에서 특히 의료 기관들과 병원들을 성공적으로 공략하는 중이다.

FBI는 병원들이 곳곳에서 뚫리는 것을 보건데, “의료 산업 내에서 사용되고 있는 소프트웨어나 하드웨어의 공급망이 당한 것 같다”고 보고 있다. FBI가 발표한 바에 따르면 이 공격은 2단계로 이뤄져 있는데, 1단계에서 공격자들은 피해자의 네트워크에 대한 접근 권한을 확보하는 데 힘쓴다고 한다. 광범위하게, 그리고 지속적으로 접근할 수 있도록 발판을 먼저 마련하는 것이다. “그런 후 쾀퍼스의 페이로드를 심어 추가 익스플로잇을 실시”한다.

여기서 먼저 눈에 띄는 건 공격자들이 피해자의 네트워크에 꽤나 긴 시간 머물러 있었다는 것이다. 최대 3년까지 들키지 않고 네트워크에 상주해 있기도 했었다. 공격자들은 모듈을 간간이 추가해 보다 상세한 ‘정찰’을 실시하기도 했다. 주로 도메인 제어기, 개발 및 실험용 엔지니어 서버, 소프트웨어 개발 서버를 노렸으며 소스코드와 각종 연구 자료를 빼간 것으로 보인다.

현재로써 파악된 쾀퍼스 감염 경로는 다음과 같다.
1) M&A 시, 한 조직으로부터 다른 조직으로 자연스럽게 흘러갔다.
2) 공동 연구 개발 단계에서 참여 조직 간 공유 자원을 통해 퍼졌다.
3) 소프트웨어 및 하드웨어 공급망을 감염시켜 사용자(구매자)가 자연스럽게 구매 및 설치하는 과정에서 감염을 진행시켰다.

FBI는 발표문을 통해 “쾀퍼스 캠페인을 진행하고 있는 자들은 의료계에서도 특히 이미징 기술에 특화되어 있는 조직들을 표적으로 삼고 있는 듯 하다”며 “의료용 스캐너와 같은 장비 제조사들이 정찰을 당하고 있는 상황”이라고 말했다. 그러면서 “기술만이 아니라 고객 네트워크에도 접근하고 있어, 입체적인 염탐이라는 느낌을 강하게 준다”고 강조했다.

쾀퍼스 멀웨어의 특징은 모듈 구성으로 되어 있다는 것이다. 따라서 공격자들이 상황에 따라 유연하게 대처할 수 있다. 여러 정보를 보다 집요하게 노리는 것이 가능하다는 뜻도 되지만, FBI는 “모듈 하나하나를 엔드포인트 보호 솔루션 등으로 전부 잡아내기가 힘들 수도 있다는 것이 문제”라고 짚었다.

FBI는 “감염이 의심되는 조직들은 신뢰할 수 있는 보안 전문 파트너사에 문의하고 FBI에 연락하여 합동 대처를 이뤄가야 한다”고 권고했다. 또한 “네트워크 트래픽을 캡처하고 감염된 호스트들의 이미지를 생성하며, 웹 프록시 로그와 DNS, 방화벽 로그를 확보할 경우 조사에 큰 도움이 된다”고도 덧붙였다.

3줄 요약
1. 다양한 산업, 특히 의료 산업을 노리는 멀웨어 캠페인 발견됨.
2. 이 멀웨어의 이름은 쾀퍼스로, 모듈 구성으로 되어 있어 세밀한 정보 탈취에 유용함.
3. 현재까지는 의료용 이미징 전문 기업들이 주로 당하고 있음.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)