Home > 전체기사

솔라윈즈 사태 일으킨 러시아 공격자들, 미 사법부에 도메인 뺏겨

  |  입력 : 2021-06-02 15:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
연말에는 솔라윈즈 사태 일으키고 얼마 전 대량의 피싱 공격 펼쳤던 노벨륨이 최근 미 사법부에 도메인을 빼앗겼다. 이 때문에 공격의 연결 고리가 끊기게 됐다. 다만 이것이 완전 무력화로 이어지기는 힘들 것으로 보인다. 아직 경계를 풀 때가 아니다.

[보안뉴스 문가용 기자] 최근 러시아 공격자들로 보이는 해킹 단체가 미 국제 개발기구(USAID)를 사칭하여 대량의 피싱 공격을 실시한 바 있는데, 미국 사법부가 이 공격에 활용된 도메인 두 개를 확보하는 데 성공했다. 이 도메인을 통해 공격자들은 C&C 활동을 벌이고 멀웨어를 배포했다고 한다.

[이미지 = utoimage]


이러한 공격에 대해 제일 먼저 세상에 알린 건 마이크로소프트(Microsoft)와 볼렉시티(Volexity)다. 공격 배후 단체를 MS는 노벨륨(Nebelium)이라고 부른다. 작년 말과 올해 초 솔라윈즈(SolarWinds) 사태를 일으켰던 바로 그 자들이라고 한다. 이번 대규모 피싱 공격에서는 약 350개의 조직들이 노려졌다고 미국 CISA는 발표했다.

MS와 볼렉시티가 설명한 바에 의하면 공격자들은 제일 먼저 USAID의 콘스턴트 콘택트(Constant Contact) 계정을 침해했다고 한다. 콘스턴트 콘택트는 이메일 마케팅에 사용되는 정상 솔루션이다. 공격자들은 USAID의 콘스턴트 콘택트를 통해 대량의 메일을 발송했는데, 당연히 스피어피싱 메일이었다. USAID의 계정으로 보였으니 이 악성 메일들은 정상적으로 보였다.

피해자들이 여기에 속아 메일에 첨부된 링크를 클릭할 경우, theyardservice.com이라는 서브도메인으로부터 소프트웨어를 다운로드 받아야 한다는 내용의 팝업이 뜬다. 여기에 응하면 코발트 스트라이크(Cobalt Strike)라는 해킹 도구의 일종이 다운로드 된다. 공격자들은 이를 활용해 피해자의 시스템에 머무르며 계속해서 추가 공격을 실시한다. 추가 공격에 worldhomeoutlet.com이라는 도메인이 연루되기도 했다.

이렇게 공격을 수사하다가 드러난 두 개의 도메인들은 현재 미국 사법부가 폐쇄시킨 상황이다. 공격자들의 연쇄적인 공격 사슬을 끊어냄으로써 공격을 어렵게 만들기 위함이다. 또한 이 도메인들을 분석함으로써 침해된 장비들을 파악하는 것도 가능하다.

여기에 더해 보안 전문가들은 공격자들의 공격 도구를 보다 상세히 분석하기도 했다. 현재까지 네 가지 공격 도구가 식별됐는데, 이름은 엔비스카웃(EnvyScout), 붐박스(BoomBox), 네이티브존(NativeZone), 베이퍼레이지(VaporRage)다. “이 도구들은 기술적으로 고도화 되어 있지만 범용적이지는 않습니다. 특정 표적들을 염두에 두고 제작된 도구들로 보입니다.”

예를 들어 붐박스의 경우 이후 공격에 사용될 페이로드를 설치하는 일종의 다운로더다. 붐박스의 특이한 점은 다운로더 기능을 실시할 때 드롭박스 계정을 사용한다는 것이다. 솔라윈즈, 콘스턴트 콘택트나 드롭박스처럼 사람들이 일반적으로 신뢰하는 서비스를 공략하는 것이 노벨륨의 현재 주요 공격 전략인 것이 분명해 보이는 부분이다.

붐박스, 베이퍼레이지(셸 코드 로더로 임의의 페이로드를 메모리 내에 다운로드 받아 설치하는 기능을 가지고 있다), 네이티브존은 전부 피해자 환경에 대한 프로파일링 기능을 가지고 있는 것으로 나타났다. 이에 대해 소포스는 “공격자들이 피해자들로부터 광범위한 정보를 수집한 뒤 2차, 3차 공격자를 조심스럽게 골라내려는 것”이라고 분석한다.

네이티브존의 경우 코발트 스트라이크 내에 비컨(Beacon)이라는 요소를 공격자들이 살짝 바꾼 것으로 보인다. “네이티브존은 우크라이나 정부 기관들을 공격하는 목적으로 개발된 것으로 보입니다. 겉으로 보면 업데이트 인스톨러처럼 보이지만 실상은 멀웨어를 설치하는 기능을 가지고 있습니다.” 하지만 어떤 소프트웨어의 업데이트를 사칭하고 있는지는 아직 공개되지 않고 있다.

공격 도구 분석은 아직 진행 중이다.

3줄 요약
1. 노벨륨 공격자들 : 솔라윈즈 침해 -> 콘스턴트 콘택트 침해 -> USAID 사칭 -> 피싱 메일 대량 발송 -> 멀웨어 설치.
2. 현재까지 발견된 멀웨어는 4종. 전부 기술적인 수준 높음.
3. 신뢰받는 서비스 침해하는 것이 주요 전략. 우크라이나 겨냥한 공격 흔적도 발견됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)