• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

이란 APT 그룹의 새로운 무기 벨라시아오, 이란 해커의 발전상 드러내 2023.05.05

이란의 악명 높은 해킹 단체 차밍키튼이 새로운 멀웨어를 사용하기 시작했다. 커스터마이징과 독특한 C&C 운영법이 차별점이라고 한다. 지속적으로 발전하는 이란 해커들은 점점 더 큰 위협거리가 되는 중이다.

[보안뉴스 문정후 기자] 새로운 멀웨어가 출현해 미국, 유럽, 튀르키예, 인도를 폭격하고 있다. 배후에 이란이 있는 것으로 보인다. 이 멀웨어의 이름은 벨라시아오(BellaCiao)이며, 일종의 드로퍼로 분류된다. APT 그룹인 차밍키튼(Charming Kitten)이 배후에 있는 것으로 의심되고 있으며, 고도의 표적 공격에 주로 이용된 것으로 조사되고 있다.

[이미지 = utoimage]


고도화 된 위협
보안 업체 비트디펜더(Bitdefender)가 발견한 벨라시아오는 그 동안 이란의 해킹 단체들이 사용해 온 멀웨어들과 여러 가지 면에서 차이점을 가지고 있다. 먼저는 고도화 된 표적 공격에 특화되어 있다는 것이고, C&C 서버와의 독특한 교신 방법 때문에 탐지가 어렵다는 것이라고 비트디펜더는 자사 블로그를 통해 공개했다.

“저희가 수집한 샘플들 모두 피해자에 맞게 커스커마이징 되어 있었습니다. 즉 똑같은 멀웨어가 있는 그대로 사용된 사례가 하나도 없다는 겁니다. 모든 공격에 차이점이 존재합니다.” 비트디펜더의 기술 솔루션 책임자인 마틴 주겍(Martin Zugec)의 설명이다. “일례로, 모든 샘플들에 피해자에 대한 정보가 하드코딩 되어 있는데, 그게 전부 다릅니다. 피해자의 회사 이름, IP 주소, 각종 서브도메인이 멀웨어 샘플에 개별적으로 지정되어 있기 때문입니다.”

벨라시아오를 활용하는 차밍키튼의 의도는 노골적이다. 벨라시아오를 각 피해자에 맞게 조작해 피해자에 어울리는 고유의 공격을 실시하는 것이다. “빌드 정보를 분석했을 때 벨라시아오의 개발자는 공격 표적들을 폴더별로 지정해 목록화 하고 있음을 알 수 있었습니다. 그리고 이 폴더들은 국가별로 분류되어 있었죠. 피해자에 딱 맞는 공격을 하기 위해 여러 가지로 노력을 한 것입니다.”

C&C 명령을 받는 독특한 방법
주겍은 벨라시아오와 C&C 서버의 교신 방법이 꽤나 독특하다고 짚는다. “결론적으로 얘기해 멀웨어와 서버 간 통신은 DNS 이름 분석 행위에 기반을 두고 있습니다. 기존 방법으로 탐지할 만한 통신 행위가 없다는 뜻입니다. 벨라시아오에 감염된 호스트들은 인터넷 서버들에 DNS 이름 분석을 요청합니다. 그러면 그 서버들이 IP 주소값을 보내주죠. 어떤 형태로 그 IP 주소 정보가 전달되느냐에 따라 벨라시아오의 악성 행위가 결정됩니다. 즉 IP 주소를 구성하는 각 조각들이 명령이 된다는 겁니다.”

그러면서 주겍은 전화번호를 예로 들어 설명한다. “예를 들어 전화번호의 국가 코드는 벨라시아오라는 드로퍼가 할 일을 전달하고, 지역 코드는 어떤 멀웨어를 추가로 다운로드 받아야 하는지를 지정하고, 전화번호 앞자리 수는 피해자의 어떤 폴더에 멀웨어를 심을지를 알려주는 식입니다. DNS 분석 요청과 회신만으로 이렇게 명령이 전달되니 기존 트래픽 탐지 기술로는 잡아낼 수가 없습니다.”

점점 더 공격적으로
차밍키튼은 이란의 정부가 뒤를 봐주고 있는 공격 단체다. 최소 2014년부터 활동해 온 것으로 알려져 있다. 그 동안 이란 정부를 대신해 여러 국가의 정부 기관, 기자, 싱크탱크, 학술 기관 등을 공격해 왔다. 이란 정부와 관련이 깊거나, 이란 정부에 대한 연구나 조사를 진행하는 인물과 단체를 대상으로 각종 정보를 수집하는 게 이들의 주요 목적이었다. 지난 해 보안 업체 프루프포인트(Proofpoint)는 이들이 납치와 같은 물리적 공격과도 연루되어 있다고 발표하기도 했었다.

또한 차밍키튼은 자신들의 공격 행위를 계속해서 업그레이드시키는 단체이기도 하다. 특히 2021년 중반 에브라힘 라이시가 대통령으로 선출되면서 공격력을 크게 높였다. 비트디펜더도 “2021년 이란 정권이 바뀌면서 차밍키튼도 보다 공격적인 그룹으로 변모해 왔다”고 설명한다. “그 때부터 차밍키튼은 새로운 취약점을 빠르게 익스플로잇 하고 있습니다. 공개된 개념증명용 코드도 능동적으로 이용하고요.”

주겍은 “이란의 공격 단체들이 전체적으로 발전을 거듭하고 있다”고 경고한다. “특히 랜섬웨어를 사용해 금전적인 이득을 보고자 하는 시도가 더 활발해지고 있습니다. 이들이 이렇게 돈을 노골적으로 노리기 시작한다는 건 더 장기적인 악행을 시도하고자 하는 연료를 비축하고 있다는 뜻이 됩니다. 이란 해커들의 활동력은 앞으로 더 왕성해질 것으로 예상됩니다.”

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>