탐지 피하기 위해 부지런히 공격 도구 바꾸는 가마레돈

요약 : 보안 블로그 시큐리티어페어즈에 의하면 러시아의 APT 단체인 가마레돈(Gamaredon)이 우크라이나의 조직들을 공격하기 위해 새로운 도구들을 들고 나타났다고 한다. 새로운 무기란 프테라노돈(Pteranodon) 혹은 프테로도(Pterodo)라는 다기능 백도어의 최신 버전이다. 이를 통해 우크라이나의 군이나 통신 시설, 정부 기관에서 여러 민감 정보를 훔쳐내는 것이 가마레돈의 목표다. 가마레돈은 전쟁 개시 이후 계속해서 이런 식의 활동을 은밀히 해 왔었다.


배경 : 가마레돈은 최소 2014년부터 활동해 온 러시아의 APT 단체로 셕웜(Shuckworm), 액티늄(Actinium), 아마게돈(Armageddon), 프리미티브베어(Primitive Bear)라는 이름으로도 불린다. 도구를 자주 바꾸기 때문에 탐지가 까다로운 것으로 유명하다.

말말말 : “새 백도어를 퍼트리기 위해 가마레돈은 새로운 파워셸 스크립트를 사용하기도 합니다. 이들은 새로운 걸 계속해서 만들고 실제 공격에 적용하는 데 특화된 자들입니다.” -시만텍(Symantec)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>