Home > 전체기사
MS, 중국 해커들이 애저를 공격에 활용하자 선제적 조치 취해
  |  입력 : 2020-09-28 15:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
MS, 중국의 가돌리늄이 활용하던 애저 액티브 디렉토리 앱 18개 삭제해
2013년부터 활동해 온 중국 정부 지원 해커들...최근 아태 지역으로 공격 범위 확대


[보안뉴스 문가용 기자] 마이크로소프트가 이번 주 18개의 애저 액티브 디렉토리(Azure Active Directory) 애플리케이션들을 삭제했다고 발표했다. 이 애플리케이션들이 중국 정부의 지원을 받고 있는 공격자인 가돌리늄(GADOLINIUM)과 관련되어 있기 때문이라고 한다.

[이미지 = utoimage]


가돌리늄은 APT40, 템프페리스콥(TEMP.Periscope), 템프점퍼(TEMP.Jumper), 레비아탄(Leviathan), 브론즈 모혹(BRONZE MOHAWK), 크립토나이트 판다(Kryptonite Panada)라고 불리기도 한다. 2013년부터 활동한 것으로 알려져 있으며 중국 해군과 관련된 활동을 벌인다.

최근 들어 가돌리늄이 애저 클라우드 서비스와 오픈소스 도구들을 활용해 스피어피싱 공격을 진행했다는 보고들이 나오기 시작했다. 이에 MS가 조사를 진행해 선제적 방어를 실시한 것이 이번 발표의 골자다. “애저 액티브 디렉토리 애플리케이션 18개가 이들의 공격 인프라에 포함되어 있다는 것을 알게 되었고, 전부 삭제했습니다.”

마이크로소프트의 발표에 의하면 가돌리늄은 최근 교육과 정부 기관에 대한 공격을 일삼아 왔는데, 최근 들어 아태 지역의 기관들까지도 공격하기에 이르렀다고 한다. 또한 기존에 사용하던 공격 도구들에 더해 오픈소스 도구들을 추가해 공격의 기능성을 높이기도 했다고 한다. 특히 추적을 힘들게 했다는 게 포인트다.

가돌리늄은 최근 몇 년 동안 클라우드 인프라를 공격에 활용하는 것을 실험해 온 것으로 나타나기도 했다. 2016년 마이크로소프트의 테크넷(TechNet)을 시작으로, 2018년에는 깃허브(GitHub)를 C&C로 활용하는가 하면, 2019년과 2020년에도 다양한 공공 클라우드 서비스에서 비슷한 시도를 이어갔다.

2019년~2020년, 가돌리늄은 오픈소스 도구들에 대한 관심을 높이기도 했다. 이 때는 여러 APT 단체들이 오픈소스를 연구하기 시작한 시기이기도 하다. 오픈소스는 공격자의 변별력을 떨어트려 추적자를 따돌리기가 쉽고, 공격 비용이 줄어든다는 장점이 있어서 공격자들 사이에서 점점 선호되고 있다.

올해 4월 가돌리늄은 코로나 사태를 키워드로 채용함으로써 스피어피싱에 대한 설득력을 높이는 전술을 보여주기도 했다. 감염 자체는 여러 단계를 거쳐 일어났는데, 오픈소스인 파워셸엠파이어(PowershellEmpire)가 사용되기도 했었다. 이를 통해 피해자의 시스템에 추가적인 페이로드를 설치할 수 있게 된다.

그 외에 원드라이브(OneDrive)를 통해 명령을 실행하고 그 결과를 추출하는 모듈이 사용되는 사례도 있었다. 또한 애저 액티브 디렉토리를 사용해 데이터를 빼돌린 뒤 원드라이브로 보내는 방법이 활용되기도 했었다.

“엔드포인트나 네트워크 모니터링을 실시하는 입장에서 보면, 클라우드와 관련된 이러한 공격 행위들이 처음에는 정상적으로 보일 수밖에 없습니다. 유명한 클라우드 서비스의 API 등을 활용하게 되는 것이니까요. 그게 바로 클라우드가 공격에 연구되는 이유입니다.” MS의 설명이다.

3줄 요약
1. 중국의 APT 단체, 애저 클라우드 서비스를 공격에 활용.
2. 이에 MS가 18개 관련 애플리케이션들을 자사 생태계에서 삭제함.
3. 클라우드를 공격에 활용했을 때의 장점은, 공격 행위가 정상적으로 보인다는 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상