새롭게 발견된 APT 단체, 옛 소련 국가의 국가/외교 기관들 공격

요약 : 보안 블로그 시큐리티어페어즈에 의하면 요로트루퍼(YoroTrooper)라는 APT 그룹이 새롭게 등장했다고 한다. 일부 유럽 국가의 정부 기관들과 에너지 산업을 노리는 활동을 진행 중에 있는 것으로 분석됐다. 특히 구 소련 연방에 소속되어 있던 CIS 국가들인 아제르바이잔, 타지키스탄, 키르기스스탄 등이 주요 표적이다. 그 외에 EU 의료 관련 기관 한 곳, WIPO, 튀르키예 정부 기관 일부가 이들에게 침해된 것으로 보인다. 여러 애플리케이션과 브라우저에 저장된 크리덴셜을 주로 탈취한다.


배경 : 요로트루퍼는 파이선 기반 정보 탈취 멀웨어인 스팅크(Stink)를 자주 사용하는 모습을 보이고 있다. 하지만 그 외에도 여러 가지 RAT을 다크웹에서 구매하여 사용하기도 한다. 대표적으로 아베마리아(AveMaria)와 로다랫(LodaRAT) 등이 있다. 아직 요로트루퍼의 정체에 대해서는 짐작되는 바가 없다.

말말말 : “요로트루퍼는 사용하는 멀웨어를 자주 바꿉니다. 다크웹에서 판매하는 멀웨어를 쓰기도 하고 직접 만들어 쓰기도 합니다. 그렇기 때문에 추적에 혼선이 빚어집니다.” -시스코 탈로스(Cisco Talos)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>