Home > 전체기사

솔라윈즈 공격자들, 이번엔 마케팅 솔루션 침해해 피싱 메일 배포

  |  입력 : 2021-05-31 16:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
솔라윈즈 사태를 일으킨 러시아 해커들의 새로운 움직임이 포착됐다. 이번에는 정상적인 마케팅 솔루션을 통해 가짜 이메일을 퍼트렸다. 아직 별 다른 피해는 일어나지 않은 상황이지만, 앞으로가 더 걱정된다.

[보안뉴스 문가용 기자] 지난 해와 올해 초 미국 전역을 충격에 빠트렸던 해킹 사건인 ‘솔라윈즈(SolarWinds) 사태’의 배후에 있는 공격자들이 미국 국제개발기구(US Agency for International Development, USAID)를 사칭한 피싱 이메일을 대량으로 발송했다고 MS가 발표했다. MS는 배후 공격자들을 노벨륨(Nobelium)이라고 부르고 있다.

[이미지 = utoimage]


MS는 노벨륨을 2021년 1월부터 추적해 오고 있었는데, 최근 이 그룹이 새로운 전략들을 이리 저리 실험하기 시작했다고 설명한다. 이번 피싱 공격 역시 이러한 움직임의 일환으로, 24개국 내 약 150개 조직의 3000여 개 계정들이 표적이 되고 있다고 한다. 하지만 공격의 대부분은 미국에 집중되어 있다고 한다.

노벨륨은 러시아 정부와 관련이 있는 것으로 보이는 해킹 단체로, 통신사, 싱크탱크, 군사 기관, IT 업체, 의료 건강 분야를 주로 공략해 왔다. 다만 이번 피싱 캠페인의 경우 국제 관계 및 인권 단체와 관련된 조직들이 대거 공격당했다고 한다.

이번에 공격자들이 활용한 건 이메일 마케팅에 정상적으로 사용되는 도구인 콘스턴트 콘택트(Constant Contact)다. 하지만 워낙 대량으로 피싱 이메일이 발송되고 있어 대부분의 이메일 보안 솔루션들에서 차단하고 있다고 한다. 다만 환경 설정에 따라 콘스턴트 콘택트를 정상으로 인지하는 경우도 있다고 MS는 경고했다.

MS에 의하면 “공격자들은 USAID의 콘스턴트 콘택트 계정에 접근하는 데 성공했고, 이를 통해 정상적으로 보이는 USAID 이메일을 수만 명의 피해자들에게 보낼 수 있었다”고 한다. 부회장인 톰 버트(Tom Burt)는 자사 블로그를 통해 “연루된 피해자들에게 이와 같은 사실을 알리고 있다”고 밝혔다. 아직 MS의 제품과 서비스가 집중적으로 익스플로잇 되었다는 증거는 없다고 한다.

공격자들이 콘스턴트 콘택트라는 솔루션을 사용한 것은, 메일링 서비스의 URL을 감추기 위한 것으로 분석되고 있다. 피해자들이 이를 USAID의 이메일인 줄 알고 클릭했을 경우, ISO 파일이 다운로드 된다. 이 ISO 파일에는 악성 LNK 파일과 DLL 파일, 2020년 미국 선거에 대한 위협 보고서와 같은 미끼 문서가 포함되어 있다. 악성 DLL 파일의 경우 코발트 스트라이크(Cobalt Strike)의 비컨(Beacon)을 커스터마이징 한 것이라고 하며, 이름은 네이티브존(NativeZone)이다.

악성 페이로드들이 성공적으로 피해자의 시스템에 안착할 경우, 공격자들은 해당 시스템에 지속적으로 접근할 수 있을 뿐만 아니라 횡적으로 움직이고 데이터를 훔쳐내며 추가 멀웨어를 설치할 수 있게 된다. MS는 “이러한 노벨륨의 스피어피싱 공격이 빈도와 규모 모든 면에서 증가하고 있다”고 경고하고 있다. 그러면서 “전략을 수정해 더 많은 공격을 감행할 것으로 예상된다”고 덧붙였다.

버트는 “노벨륨이 솔라윈즈와 콘스턴트 콘택트 등 사용자들 사이에서 널리 신뢰받고 있는 소프트웨어 생태계를 집중적으로 노리고 있다는 것이 분명해졌다”고 말한다. “그렇다는 건 이들이 애초부터 공격하기로 마음먹었던 표적 외에도 추가 피해가 발생하는 걸 의도하고 있다는 뜻입니다. 동시에 기존에 형성됐던 신뢰에 금이 가게 하는 것도 이들의 목적이라고 볼 수 있습니다.”

보안 업체 파이어아이(FireEye)의 부회장인 존 헐트퀴스트(John Hultquist)는 “솔라윈즈 때는 극도로 은밀하게 움직였던 이들이 이제는 이렇게 시끄럽고 대담하게 공격하기 시작했다는 건, 앞으로도 계속해서 공격을 실시하겠다는 걸 나타낸다”고 해석한다. “이 모든 공작의 배후에 있는 러시아의 첩보 기관인 SVR은 정찰을 멈추지 않을 것입니다.”

한편 미국은 다음 달 러시아와의 정상 회담을 앞두고 있다. 회담 일정이 정해진 가운데 벌어진 일이지만 백악관은 “해당 공격은 모두 기초적인 수준에서 벌여졌고, 방어가 성공적이었으며, 따라서 피해가 없다시피 했다”며 “다음 달 회담에 전혀 영향을 줄 만한 일은 아니”라고 설명했다.

3줄 요약
1. 러시아의 SVR, 솔라윈즈 사태 이어 대량 피싱 공격 진행.
2. 이번에 공격자들이 활용한 건 콘스턴트 콘택트라는 정상 이메일 마케팅 솔루션.
3. 신뢰 받는 소프트웨어 집중해서 노리는 것은 신뢰 관계를 망가트리겠다는 의도로 해석됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)