보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

고급 APT 그룹 리시움, 공급망 공격 기획 중인 듯 ISP 노려

입력 : 2021-11-12 15:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
2019년 처음 발견된 리시움이 남아공과 중동, 북부 아프리카 국가들을 공격했다가 최근에는 중동의 ISP들을 노리기 시작했다. 아마 올해 문제가 크게 됐던 공급망 공격을 염두에 두고 있는 듯하다.

[보안뉴스 문가용 기자] 중동의 통신사와 에너지 기업들을 공격해 온 것으로 알려진 고급 공격 단체 리시움(Lyceum)이 최근에는 인터넷 서비스 제공업체(ISP)들과 정부 기관으로 공격 대상들을 확대했다는 소식이다. ISP를 공격할 경우 고객사를 한꺼번에 침해하는 게 가능해져 공격자들 입장에서는 비용 대비 효과가 높다는 이점을 가져갈 수 있게 된다. 보안 업체 액센추어(Accenture)와 프리베일리온(Prevailion)이 이에 대해 발표했다.

[이미지 = utoimage]


원래 리시움의 최근 공격 캠페인을 처음으로 조명한 건 보안 업체 카스퍼스키(Kaspersky)와 클리어스카이(ClearSky)다. 액센추어의 사이버 방어 팀과 프리베일리온의 대첩 팀은 이를 통해 리시움의 보다 상세한 공격 방식과 전략을 분석했다. 주로 공격 인프라와 피해자들에 대해 파악하는 것을 주요 목적으로 삼았다고 한다. 프리베일리온의 CEO인 카림 하이야지(Karim Hijazi)는 “리시움이 이란을 근거지로 삼고 있다고 추정되기 때문에 관심을 갖게 됐다”고 설명한다.

이전 연구에 비해 이번 분석 보고서에는 새로운 C&C 인프라와 피해자 정보가 언급되고 있다. “저희는 약 20개의 새로운 도메인들을 찾아내는 데 성공했습니다. 이를 통해 이들이 어떤 피해자들을 주로 노리는지 더 확실히 알 수 있었고요.” 더 확실히 알아낸 사실 중 하나는 리시움이 최근 들어 ISP들과 정부 기관을 더 적극적으로 노리기 시작했다는 것이다. 또한 새로운 백도어와 살짝 수정한 예전 백도어를 고루 사용하고 있다는 사실도 드러났다.

리시움이 세상에 처음 드러난 건 2019년 8월의 일이다. 보안 업체 시큐어웍스(Secureworks)가 이들과 관련된 보고서를 처음 발표했었다. 당시에는 남아프리카공화국이 리시움의 주요 표적인 것으로 분석됐으나 그 후 이들이 중동의 단체와 인사를 노리는 경우가 발견되기도 했다. 주로 정상적인 로그인 크리덴셜을 브루트포스나 비밀번호 살포 공격으로 훔쳐낸 후, 이를 사용해 피해자의 네트워크에 침투하는 수법을 활용한다. 또한 침해된 계정을 사용해 스피어피싱 공격을 실시해 닷넷(.NET) 기반 원격 접근 트로이목마인 댄봇(DanBot)을 퍼트리며, 이 댄봇으로는 추가 멀웨어를 심기도 한다.

지난 달에는 카스퍼스키의 보안 전문가들이 튀니지의 기관 두 곳을 리시움이 공격하고 있다고 발표하기도 했었다. 이 때 리시움은 닷넷 기반 댄봇이 아니라 C++ 기반 댄봇을 사용했었다. C++ 버전은 여러 개가 있었는데 카스퍼스키는 그 중 하나에 제임스(James)와 케빈(Kevin)이라는 이름을 붙였었다. 그 외에 네트워크 통신 기능이 하나도 없는 새로운 멀웨어가 발견되기도 했었다. 그리고 이번에 리시움에 대한 새로운 보고서가 나온 것이다.

이번 달 액센추어와 프리베일리온이 알아낸 바에 의하면 리시움은 2021년 7월부터 10월까지 캠페인을 진행했다고 한다. 튀니지, 사우디아라비아, 모로코, 이스라엘의 ISP와 통신사들이 주요 표적이었다. 한 아프리카 국가의 외무부에서도 이들의 흔적이 발견됐다. 리시움은 DNS 터널링 기법을 사용해 백도어를 배포했는데, 이 백도어에는 HTTPS C2 기능이 있어 공격자들과의 통신이 가능했다.

하이야지는 “리시움이 ISP를 공격하기 시작했다는 것에 유의해야 한다”고 경고한다. “리시움도 올해 여러 차례 문제가 됐던 공급망 공격에 관심을 기울이기 시작한 것으로 보입니다. ISP를 통해 고객사를 공격하거나, ‘아일랜드 호핑(island-hopping)’ 공격을 실시하는 것이 이들의 관심사일 것입니다. 여러 사람들에게서 신뢰를 받는 합법적인 서비스를 통해 한 번에 많은 조직들에 침투하겠다는 게 이들의 의도일 겁니다.”

하이야지는 “리시움이 사용하는 멀웨어의 고급스러움이나 이들의 뛰어난 공격 기술을 봤을 때 (이란의) 정부 기관이 뒤를 봐주고 있을 가능성도 높아 보인다”고 말한다. 하지만 아직 확실한 증거가 있는 것은 아니다. 게다가 재미있는 건 “세계에서 가장 해킹 피해를 많이 받는 국가인 미국이 리시움의 표적이 된 사례가 없다는 것”이다. “그러나 리시움이 이란과 관련이 있는 조직이라면 현재의 미국과 이란의 관계를 봤을 때 얼마든지 공격의 대상이 될 수 있습니다.”

3줄 요약
1. 이란의 조직으로 추정되는 리시움, 최근 중동의 통신사와 ISP를 집중적으로 노림.
2. ISP를 노린다는 건 공급망 공격을 실시하겠다는 의도로 해석됨.
3. 이란과 관계가 있는 국가들 중 미국에서만 유독 피해가 발생하지 않고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)