2017년부터 진행되어 온 정보 유출 캠페인, 항공 업계에 퍼진 RAT들

요약 : 고급 APT 단체인 TA2541이 최소 2017년부터 항공 산업에 RAT 멀웨어를 유포시킨 사실이 뒤늦게 밝혀졌다. 에이싱크랫(AsyncRAT), 리벤지랫(RevengeRAT) 등 다크웹에서 손쉽게 구매할 수 있는 상용 멀웨어들이 사용되어 왔다고 한다. 정보 수집을 위해 지난 5년 동안 진행되어 온 캠페인인데 아직까지도 진행되는 중이라고 보안 업체 프루프포인트(Proofpoint)는 경고했다.


배경 : TA2541은 주로 마이크로소프트 오피스의 악성 매크로를 통해 피해자 컴퓨터를 감염시켜왔다. 하지만 이런 수법은 최근 들어와 구글 드라이브나 원드라이브와 같은 유명 클라우드 서비스를 활용하는 식으로 바뀌었다. 하지만 보안 전문가들은 큰 맥락 안에서 이는 사소한 변화일 뿐이고, TA2541이 예나 지금이나 비슷한 방식으로 피해자들을 만들고 있다고 봐야 한다고 설명한다.

말말말 : “TA2541과 같은 공격자들이 일관되게 같은 전략을 사용하고 있다는 건, 방어하는 쪽 혹은 피해를 입는 쪽에서의 개선이 이뤄지지 않고 있다는 뜻입니다.” -프루프포인트-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>