Home > 전체기사
어쩌면 용병 산업 스파이? 새로운 APT 레드컬이 주는 의미
  |  입력 : 2020-08-14 17:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
레드컬이라는 신생 APT 단체 발각돼...2018년부터 활동한 것으로 보여
산업과 지역 불문하고 공격...가져가는 데이터조차 무작위...용병 해커들일 수도


[보안뉴스 문가용 기자] 새로운 APT 단체가 발견됐다. 이름은 레드컬(RedCurl)로, 최소 2018년부터 활동해 온 것으로 보인다. 이들이 주로 노리는 건 국제적 규모의 대기업들로 현재까지 최소 14곳이 이들의 공격에 당한 것으로 보인다. 기업 정보와 직원들의 개인정보가 다량 이들 손으로 넘어갔다고 한다.

[이미지 = utoimage]


산업별로는 표적을 크게 구분하지 않는 것으로 보인다. 현재까지 당한 업체들은 건축, 금융, 컨설팅, 도소매, 은행, 보험, 법, 여행 등 여러 산업에 걸쳐 나타났다. 지역별로는 러시아, 우크라이나, 영국, 독일, 캐나다, 노르웨이에 피해가 집중됐다. 레드컬을 처음 발견한 건 보안 업체 그룹IB(Group-IB)로, 레드컬이 러시아어를 구사하는 해커들로 구성되어 있는 것으로 보인다고 설명한다.

그룹IB가 레드컬에 대해 알게 된 건 2019년 여름의 일이다. 한 고객이 사이버 공격을 받았다고 알리면서였다. 공격을 분석하면서 정교한 스피어피싱 이메일을 발견했다. 표적 공격이라는 소리였다. 좀 더 조사를 해보니 공격자가 특정 부서만 집중적으로 노렸으며, 문건도 골라서 가져갔다는 걸 알 수 있었다. 피해를 입었던 그룹IB의 고객사에 대한 조사를 대단히 깊이 있게 진행했다는 뜻이다. “주로 인사부를 노렸고, 인사부 직원을 사칭했습니다. 거기서부터 다른 직원들과 부서들을 공략했습니다.”

그룹IB의 멀웨어 분석 팀장인 루스탐 미르카시모프(Rustam Mirkasymov)는 “공격자는 누가 이메일을 열어볼지 정확히 알고 있었다”고 말한다. “아마도 회사 전체의 조직도를 만들어 숙지했을 겁니다. 뿐만 아니라 메일을 보낼 때 부서 전체에 보내기도 했습니다. 그래야 서로 ‘이런 메일 왔냐?’고 확인하면서 의심의 수준을 낮출 수 있거든요.”

게다가 피싱 이메일의 내용도 조심스럽게 만들었다. 피해자 기업의 주소와 로고를 공식 문서처럼 썼을 뿐 아니라, 사칭하는 기업의 비즈니스 도메인도 표기했다. 그룹IB에 따르면 “조직들의 방어력을 시험하기 위해 레드팀들이 사용하는 소셜 엔지니어링 공격과 굉장히 흡사한 방법”이라고 말한다.

“이메일 본문에는 링크가 있습니다. 클릭하면 정상적인 클라우드 서비스에 연결이 됩니다. 하지만 다운로드 되는 건 Redcurl.Dropper라는 다운로더이죠. 이 다운로더만 설치되면 일단 공격자가 피해자의 네트워크에 발을 들이는 데 성공하는 것입니다. 보통 레드컬은 또 다른 파워셸(PowerShell) 기반 드로퍼를 다운로드 받습니다.”

미르카시모프는 “이 레드컬 공격자들이 클라우드 서비스를 사용했다는 것에 주목해야 한다”고 설명한다. “유명 클라우드 서비스들을 활용하기 때문에 피해자들의 보안 장치들을 피해갈 수 있습니다. 이들은 횡적으로 움직이거나 트로이목마를 사용하거나 RDP 커넥션을 활용하지 않습니다. 그러면 걸릴 수 있으니까요. 단순하게 링크를 보내고, 피해자가 클릭하기만을 기다릴 뿐입니다. 공격 프로세스를 대단히 깔끔하고 단순하게 만들어 놨어요. 탐지가 실제 어려운 것도 사실이고요.”

레드컬의 공격 행위는 표적에 따라 바뀌는 양상을 보여주기도 했다. 독일의 기업의 경우, 고위급 간부들에 스피어피싱 공격들이 전달됐다. 러시아와 캐나다의 경우 중간 관리자들이 표적이 됐다. 훔치는 데이터도 기업에 따라 달랐다. 어떤 기업에서는 계약서를, 어떤 기업에서는 금융 정보를, 어떤 기업에서는 개인정보를 집요하게 파고들었다. 법적 공방 진행 상황과 관련된 문건을 훔쳐간 사례도 있었다.

하지만 아직까지 다크웹에서 이러한 데이터가 거래되는 사례가 발견되지는 않았다. 아직까지 레드컬이 이 정보를 가지고 단순 판매용으로 활용하지는 않는 것으로 보인다. 미르카시모프는 “경쟁사 중 하나가 이들을 고용해 필요한 정보를 훔쳐낸 것이 아닐까” 추정하고 있다. “그렇기 때문에 피해자들이 소속된 산업이나 지역에 일관성이 없는 것이기도 하죠.” 하지만 배후 세력과 고용인이 누구인지는 전혀 알 수가 없는 상황이라고 한다.

미르카시모프는 “앞으로 기업들 간 해킹 고용을 통한 정찰 행위나 산업 스파이 행위가 활발히 이뤄질 수 있다”고 경고했다. “전통적인 방법을 통해 항상 있어왔던 일이긴 합니다. 그러나 사이버 보안 분야에서는 비교적 낯선 일이죠. 아직 더 지켜봐야 하겠지만, 앞으로 레드컬과 비슷한 공격 단체나 활동 사항들이 빈번하게 나타날 경우, 기업들 간의 해킹 시대가 다가오고 있다고 볼 수 있을 것입니다.”

3줄 요약
1. 새로운 APT 그룹, 레드컬 등장.
2. 피해자들은 주로 대기업. 산업과 지역, 가져가는 정보에 일관성 없음.
3. 혹시 경쟁 기업들이 고용한 해킹 용병?

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)