보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

이란의 해킹 단체 APT35, 표적이 맥 쓰니까 자기들도 맥용 멀웨어 개발

입력 : 2023-07-11 21:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
이란의 APT35 해킹 조직이 최근 활발히 움직이고 있다. 지난 주와 이번 주 연속으로 보안 전문 업체들이 이들에 대한 보고서를 발표했을 정도다. 게다가 전략도 순식간에 수정이 가능하며, 멀웨어마저 필요에 따라 개발하는 게 가능하다고 한다.

[보안뉴스 문정후 기자] 최근 보안 업체 프루프포인트(Proofpoint)가 녹녹(NokNok)이라는 맥용 멀웨어를 발견해 분석했다. 분석에 의하면 녹녹은 국가의 지원을 받는 단체가 미국의 외교 관련 싱크탱크를 노리고 개발한 것으로 보인다고 한다. 그 싱크탱크 중에서도 핵 보안과 관련된 전문가가 녹녹의 표적이 된 것으로 현재 추정되고 있다.

[이미지 = gettyimagesbank]


공격자들은 해당 인물을 노리기 위해 피싱 이메일을 작성했는데, 제목은 ‘세계 평화라는 맥락에서 이란”과 같은 것이었다. 이 이메일을 받아 내용을 열람하려면 권한을 부여해달라는 요청에 승락해야 하는 것으로 나타났다. 하지만 다짜고짜 이런 식으로 접근하지 않았다. 아무런 악성 페이로드가 없는 이메일을 표적과 계속 주고받으면서 신뢰를 쌓는 등 사전 작업을 실시했었다. 그런 후에야 악성 매크로나, 멀웨어가 호스팅 된 드롭박스 URL 등이 전달됐다. 당연하지만 이런 식의 접근을 하는 궁극적인 목적은 녹녹을 심는 것이었다.

APT35가 발휘하는 전략의 진화
피싱 이메일의 제목이나 공격 대상을 봤을 때 공격의 배후에는 이란의 APT 조직인 APT35가 있는 것으로 강력하게 추정된다. 지난 주 보안 업체 볼렉시티(Volexity)는 APT35의 스피어피싱 캠페인에 대한 조사 결과 보고서를 발표했었다. 당시 APT35는 이스라엘의 기자 한 명을 공격하고 있었던 것으로 파악됐다.

당시에도 APT35는 “보고서 초안”이라는 제목으로 기자를 속이려 했고, 여러 단계에 걸쳐 악성 LNK 파일을 피해자의 컴퓨터에 심었으며, 이를 통해 최종 백도어를 심었었다. 이번 싱크탱크 공격과 마찬가지로 여러 통의 정상적인 이메일을 표적과 주고받은 공격자들은 피해자와 신뢰 관계를 어느 정도 구축했었다.

볼렉시티가 조사한 캠페인에서는 공격용 페이로드가 윈도 환경에서 실행되는 코드로 만들어졌었다. 그 페이로드에 볼렉시티는 파워스타(PowerStar)라는 이름을 붙였다. 이번 캠페인을 적발한 프루프포인트의 수석 위협 분석가 조슈아 밀러(Joshua Miller)는 “우리도 그 공격을 추적하고 있었다”며, “파워스타 대신 고료에코(GorjoEcho)라고 명명했었다”고 설명한다. “파워스타나 고료에코나 사실 같은 멀웨어를 지칭합니다. 그리고 이번에 발견된 녹녹은 이 멀웨어의 맥용 버전이라고 할 수 있습니다.”

프루프포인트에 의하면 APT35는 제일 처음 미국 싱크탱크 소속 표적에게 접근하여 고료에코를 심으려 했다고 한다. “하지만 해당 인물이 윈도가 아니라 맥OS 시스템을 사용하고 있었던 것이죠. 그래서 잠시 고료에코의 사용을 접어두고 녹녹을 개발하기 시작했습니다. 그런 후에 재차 공격을 실시했습니다.”

마이크로소프트의 매크로 방어 장치 피하기
볼렉시티가 발견한 캠페인과 프루프포인트가 발견한 캠페인 모두에서 공격자들은 연쇄적으로 공격을 이어가는 과정 중에 .RAR과 .LNK 파일들을 활용했었다. 하지만 이는 과거 APT35가 즐겨 사용하던 전략이 아니었다. 이들은 주로 VBA 매크로나 원격 탬플릿을 주입하는 전략을 사용해 왔던 것이다. 밀러는 “하지만 마이크로소프트가 악성 매크로 공격을 막기 위해 디폴트 관련 정책을 바꾸면서 그 전략을 버릴 수밖에 없었던 것으로 보인다”고 말한다.

그의 주장에 의하면 LNK 파일을 사용한다고 해서 공격 전략이 특별히 더 위험해지는 건 아니라고 한다. “LNK 파일을 공격 과정 중에 포함시키면 피해자가 뭔가를 더 해야만 공격을 성공시킬 수 있습니다. 행동을 추가적으로 유발해야 한다는 것이죠. 따라서 탐지될 가능성도 높아집니다. 워드 매크로를 이용하는 것이나 LNK를 이용하는 것이나 공격 성공률이라는 측면에서는 크게 다를 것이 없습니다. 다만 MS가 최근 생태계 정책을 바꿨기 때문에 매크로를 사용하는 게 공격자 입장에서는 더 껄끄러워진 것입니다.”

그러나 이번 캠페인의 경우 LNK 파일이 시사하는 바가 좀 더 크다고 밀러는 설명을 잇는다. “APT35가 그 동안 즐겨 사용했던 매크로를 버리고 LNK로 넘어왔어요. 그것도 긴 공백기를 가진 것도 아닙니다. 약간의 방해가 있었지만 자신들이 하던 것을 아무렇지 않게 계속 이어갈 수 있었다는 것을 나타내는 것으로, 이들이 얼마나 유연하고 집요한지를 보여줍니다.”

프루프포인트는 꽤나 높은 자신감을 가지고 APT35를 이번 사건의 배후 세력으로 보는 쪽이다. 전략을 일부 수정하긴 했지만 전체적인 틀에서 APT35의 과거 행각들과 이번 캠페인에 겹치는 부분이 많고, 코드에서도 비슷한 부분을 여럿 발견할 수 있기 때문이다. “또한 이들은 이슬람혁명군(IRGC)와 깊은 관련이 있는 것으로 보입니다. 이미 과거 사례를 통해 IRGC와 APT35의 관계성은 숱하게 입증되기도 했었지요. 예를 들어 APT35와 IRGC 소속 부대에 숫자를 부여하는 방식이 완전히 동일합니다.”

그렇다면 왜 이스라엘 기자와 미국 핵 전문가를 노렸을까? 프루프포인트는 “이란 핵 협상이 점점 흐지부지 되고 이란과 교섭하려는 국가들이 줄어들면서 이란은 세계 무대에서 점점 고립되어 가고 있다”며 “그래서 외교 관계나 핵 문제와 관련된 국제적인 정보들을 필요로 하는 것으로 보인다”고 추정하고 있다.

보안 업체 맨디언트(Mandiant)에 의하면 APT35는 주로 중동 지역의 군, 외교, 정부 요원들을 노려 왔었다고 한다. 또한 매체, 에너지, 국방, 통신, 엔지니어링 역시 이들이 주로 노리던 분야였다. 그래서 맨디언트는 “APT35의 공격 대상이 되는 기관이나 분야가 빠르게 늘어나고 있다”며 “누군가 든든하게 뒤를 봐주고 있기 때문에 가능한 일”이라고 지적한다. 역시 이란 정부가 배후에 있을 가능성이 높은 것으로 보고 있는 것이다. “무서운 속도로 진화하는 그룹이기 때문에 APT35는 어느 조직이나 눈여겨봐야 할 것입니다.”

3줄 요약
1. 이란의 APT35, 최근 미국 싱크탱크와 이스라엘 기자 공격하다가 적발됨.
2. 정보 탈취를 주력으로 하고 있는 백도어를 운영함.
3. 윈도 시스템만 노리는 공격을 하다가 공격 표적의 상황에 따라 금방 맥용 멀웨어도 만들어냄.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)