보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

10년 동안 사라졌다 새롭게 등장한 APT 단체 카레토

입력 : 2024-05-13 22:56
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
10년 전 여러 나라에서 기승을 부렸다가 갑자기 사라진 APT 단체가 다시 등장했다. 벌써 두 개의 조직에서 피해가 보고되고 있다. 10년 만에 나타났지만 높은 수준이 잘 유지되고 있기도 했다.

[보안뉴스=자이 비자얀 IT 칼럼니스트] 약 10년 동안 활동을 하지 않았던 한 APT 단체가 갑자기 다시 등장해 활동을 시작했다. 그런 그들의 표적이 되고 있는 건 주로 남아메리카와 중앙아프리카의 조직들이라고 한다. 이 그룹의 이름은 카레토(Careto) 혹은 더매스크(The Mask)로, 2007년부터 활동을 시작했다가 2013년 이후 자취를 감췄었다. 그 당시에는 미국, 영국, 프랑스, 독일, 중국, 브라질 등 31개국에서 380개가 넘는 조직들이 피해를 입었었다.

[이미지 = gettyimagesbank]


위협 행위자들
10년 전 카레토를 추적했던 건 보안 업체 카스퍼스키(Kaspersky)다. 이번에 이들의 ‘컴백’을 발견해 세상에 알린 것도 역시 카스퍼스키다. 카스퍼스키에 의하면 이전에 카레토가 주로 노렸던 것은 정부 및 외교 기관, 에너지와 석유 및 가스 업체들, 연구 기관, 사모 펀드 기업들 등이었다고 한다. 이번에는 남아메리카의 조직 한 곳, 중앙 아프리카의 조직 한 곳에서 기밀 문서와 브라우저 쿠키, 로그인 데이터 등을 훔친 것으로 분석됐다. 카레토가 노린 건 크롬, 에지, 파이어폭스, 오페라 브라우저들과 왓츠앱, 위챗, 쓰리마 등의 메신저 앱들이었다.

카스퍼스키의 보안 연구원인 조르기 쿠체린(Georgy Kucherin)은 “이전에 카로토에 대해 추적한 전적이 있어서 이번 캠페인도 발견할 수 있었다”며 “아무리 오랜 기간 활동하지 않은 사이버 공격 단체라 하더라도 그들에 대한 자료를 간직하고 있어야 할 이유가 충분히 있음을 알게 됐다”고 설명한다. “사라진 자들이라고 해서 아예 잊고 있는 것이 그리 바람직하지 않다는 게 증명됐다고 봅니다. 특히 APT들은 언제 어떻게 다시 나타날 지 모릅니다.”

고도화된 그들만의 전략
수년 간 카레토를 추적해 온 카스퍼스키에 의하면 카레토는 “피해자의 환경을 최초로 침투하는 데에나, 공격 지속성을 확보하는 데에나, 정보를 수집하는 데에나, 자신들만의 독특한 기술을 맞춤형으로 사용할 줄 아는 그룹”이라고 한다. 이번에 적발된 두 개의 공격 사례에서도 카레토는 피해 조직의 엠데몬(MDaemon)이라는 이메일 서버를 통해 최초 침투에 성공했는데, 중소기업들 사이에서 널리 사용되는 이 독특한 이메일 서버가 공격에 활용되는 사례는 그리 많지 않다.

카레토는 엠데몬 서버에 백도어를 심었고, 이를 통해 네트워크에 대한 제어 권한을 가져갔다. 이 과정에서 히트맨프로알러트(HitmanPro Alert)라는 멀웨어 스캐너를 오히려 악용하는 모습도 보여주었다.

“또한 카레토는 특정 보안 제품에서 한 번도 발견된 적이 없는 취약점을 익스플로잇 하기도 했습니다. 그리고 성공했죠. 이 취약점을 통해 다양한 모듈로 구성된 임플란트들을 유포하는 데 성공했고, 두 피해 조직 모두 여기에 똑같이 당했습니다.” 카스퍼스키는 안전을 위해 해당 제품의 이름과 취약점 세부 내용을 공개하지 않았다. 하지만 카스퍼스키 고객들에게만 제공되는 보고서에는 해당 내용이 상세히 공개되어 있다고 한다. “지금 제품 이름 등을 공개하면 사이버 범죄자들이 득달같이 달려들 것으로 예상하고 있습니다.”

유연한 모듈 구성 임플란트들
카레토가 사용한 임플란트들은 페이크HMP(FakeHMP), 카레토2(Careto2), 고레토(Goreto), 엠데몬임플란트(MDaemon Implant)다. 이 도구들을 통해 공격자들은 다양한 악성 행위들을 실시할 수 있었다. 엠데몬임플란트의 경우 공격자들이 최초 정찰을 하고 시스템 설정 정보를 추출하는 데 활용됐다. 횡적 움직임을 가능하게도 한 것으로 분석됐다. 페이크HMP는 마이크로폰을 통해 피해자를 염탐하고, 키로깅까지 실시하는 기능을 가졌다. 고레토 역시 키로깅 기능을 가지고 있는데, 거기에 더해 스크린샷까지 저장할 수 있었다. 카레토2는 파일 탈취 공격에 특화되어 있는 것으로 결론이 났다.

“이 임플란트들은 정교하게 개발된 다모듈 프레임워크에 기반을 두고 있습니다. 하나하나 고도의 전략을 통해 피해자의 시스템에 심겨지고요. 이런 점들만 봐도 카레토가 얼마나 높은 수준의 실력을 가지고 있는지 알 수 있습니다.”

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)