새로운 백도어 만들어 유포하기 위해 경계심 높지 않은 옛 공격 인프라 사용

요약 : 보안 외신 해커뉴스에 의하면 악명 높은 러시아 해킹 그룹인 털라(Turla)가 10년 넘은 멀웨어 유포 인프라를 가로채 자신들의 새 백도어를 퍼트리고 있다고 한다. 문제의 공격 인프라는 2013년 안드로메다(ANDROMEDA) 혹은 가마루(Gamarue)라는 이름의 멀웨어를 퍼트리는 데 활용됐었다. 하지만 털라가 안드로메다와 관련이 있는 C&C 도메인 최소 3개를 사용해 코피루왁(KOPILUWAK)과 콰이어트카나리(QUIETCANARY)라는 멀웨어를 지난 9월부터 퍼트리기 시작했다. 공격 표적은 우크라이나의 여러 단체들이었다.


배경 : 털라는 아이언헌터(Iron Hunter), 크립톤(Krypton), 유로부로스(Uroburos), 베노머스베어(Venomous Bear), 워터버그(Waterbug) 등의 이름으로 알려진 엘리트 해킹 집단이다. 정부 기관의 비호를 받고 있는 것으로 알려져 있으며, 타국 정부 기관을 주로 노린다.

말말말 : “안드로메다 멀웨어의 C&C 인프라는 이미 폐쇄된 지 오래되었습니다. 도메인들도 거의 다 휴정된 상태고요. 그걸 털라가 새롭게 부활시킨 겁니다. 오래된 멀웨어 및 공격 인프라는 현대 보안 장치들이 잘 경계하지 않는다는 것을 악용하려는 전략으로 보입니다.” -맨디언트(Mandiant)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>