Home > 전체기사
사이버 공격 유행 제조기 털라, 지메일 인터페이스로 공격 감행
  |  입력 : 2020-05-27 13:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
러시아의 APT 단체 털라, 얼마 전부터 지메일 인터페이스를 공격에 활용해
콤랫이라는 오래된 공격 도구를 업그레이드 해서 사용하기 시작...탐지 어려워


[보안뉴스 문가용 기자] 러시아의 APT 단체로 알려진 털라(Turla)가 자신의 오래된 해킹 도구 하나를 업그레이드 해서 사용하기 시작했다. 보안 업체 이셋(ESET)이 발견한 바에 따르면 털라가 오래전부터 사용하던 백도어인 콤랫(ComRAT)에 새로운 기능이 생겼다고 한다. 지메일 웹(Gmail Web) 사용자 인터페이스를 통해 명령을 받고 데이터를 빼내는 기능이다. 현재 이 새 기능으로 공격을 당한 곳이 최소 세 군데라고 한다.

[이미지 = utoimage]


이 지메일 인터페이스의 흥미로운 점은, 멀웨어가 HTTP, DNS 등 비교적 관찰이 용이한 형태의 요청을 의심스러운 도메인으로 전송하지 않는다는 것이다. 그렇기 때문에 네트워크 모니터링 요원의 입장에서는 mail.google.com으로 오가는 트래픽만이 보일 뿐이라고 이셋의 멀웨어 전문가인 마티우 파오우(Matthieu Faou)는 설명한다. “그래서 탐지도 어렵고 방어도 어렵습니다. 특히 업무용으로 지메일을 사용하는 조직 입장에서는 더 그렇죠.”

이셋은 “콤랫 백도어가 환경설정 내에 저장된 쿠키를 사용해 지메일의 웹 인터페이스와 연결되는 것”이라며 “최근 업그레이드가 이뤄진 콤랫은 예전 콤랫과 완전히 다른 수준의 사이버 무기”라고 설명했다. “심지어 코드베이스가 전혀 다릅니다. 훨씬 복잡하고 정교하며, 더 많은 기능을 갖추고 있습니다.”

털라는 스네이크(Snake)나 워터버그(Waterbug)라고도 불리는 APT 단체로, 공격자들은 러시아에 근거지를 두고 있는 것으로 의심된다. 10년 전 처음 발견됐으며, 현재까지 여러 국가들의 외교, 군사, 국방, 정치 관련 기관들을 정찰해왔다. 여러 지역에서 이따금씩 출몰하지만 최근 들어서는 중동과 동유럽에 공격을 집중시키고 있는 모양새다.

털라는 기본적인 멀웨어나 침투 테스트용 도구인 메타스플로잇(Metasploit)을 주로 활용하는 편이다. 이를 통해 먼저 공격 대상을 꼼꼼하게 정찰하고, 얻어진 정보를 가지고 2단계 공격을 실시한다. 이 때 좀 더 고차원적인 도구가 활용된다. 스피어피싱 공격, 워터링홀 공격, 중간자 공격 등을 다양하게 구사할 줄 안다.

네트워크에 침투하는 데에 일단 성공할 경우, 횡적 움직임을 통해 최대한 많은 정보를 확보해서 유출시킨다. 이 단계에서는 털라가 자체적으로 개발한 고급 도구들이 사용되는 것이 보통이다. 사용자 계정을 하나 몰래 만들고, 이를 통해 공격을 지속적으로 감행하는 것으로도 유명하다.

“콤랫은 최초 침투가 끝난 후에 털라가 사용하는 대표적인 멀웨어입니다. 콤랫을 통해 공격 지속성을 확보하고, 장기간 피해자를 염탐하는 것이죠.” 파오우의 설명이다. 다른 백도어와 마찬가지로 콤랫은 한 번 설치가 완료되면, 파일 읽기와 쓰기, 악성 프로세스 생성과 정상 프로세스 종료 등의 행위를 할 수 있는 것으로 나타났다.

최근 털라는 다른 공격 단체의 공격 인프라와 멀웨어를 가로채, 자신들의 공격에 활용하기 시작했다. 작년 보안 업체 시만텍(Symantec)과 영국의 국가사이버보안센터는 털라가 당시 공격에 활용하던 멀웨어들과 C&C 인프라가 이란의 APT 단체인 APT34의 것이라고 발표한 바 있다. 이렇게 함으로써 추적의 눈길을 다른 데로 돌릴 수 있는 것이다. 때문에 이런 전략이 APT 단체들 사이에서 자주 사용될 것이라는 예상이 나왔는데, 아직은 털라 외에 이러한 행위를 하는 공격자를 발견하지 못하고 있다.

파오우는 “털라가 사용하는 도구들은 다른 APT 단체의 도구들보다 훨씬 발전되어 있다”며 “따라서 중동과 동유럽 바깥 지역의 단체들이라도 늘 염두에 두고 있어야 하는 존재”라고 주장한다. “털라는 꽤나 고급 기술을 사용하고 있으며 멀웨어 유행을 선도합니다. 이들로부터 많은 공격 트렌드가 시작되며, 따라서 털라를 주목하는 것이 다가올 위협들을 예측하는 데 도움이 됩니다.”

4줄 요약
1. 러시아의 APT 단체 털라, 최근 오래된 공격 도구를 업그레이드 해서 활용.
2. 이는 콤랫이라는 백도어로, 지메일의 인터페이스를 통해 공격을 실시함.
3. 지메일을 통하기 때문에 네트워크 모니터링 해도 mail.google.com밖에 보이지 않음.
4. 기술적으로 상당히 앞선 털라, 해킹 공격의 트렌드를 제시하기도 함.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)