핵티비스트 공격인가 정보 탈취 공격인가...NATO 정상 회담에 맞춘 캠페인 적발돼

요약 : 보안 외신 블리핑컴퓨터에 의하면 롬콤(RomCom)이라고 이름이 붙은 사이버 공격 단체가 우크라이나를 지원하는 국가의 조직들과, 곧 시작될 NATO 정상회담 참가자들을 공격하기 시작했다고 한다. 보안 업체 블랙베리(BlackBerry)가 발표한 바에 의하면 공격자들은 우크라이나 월드콩그레스라는 조직에서 만든 것처럼 보이는 워드 문건과 NATO 정삼 회담과 관련된 워드 문건을 피싱 도구로 활용하는 중이라고 한다. 이 문건에는 악성 코드가 포함되어 있으며, 이 악성 코드가 발동되면 피해자의 시스템과 원격 서버가 연결되고 추가 멀웨어가 피해자 컴퓨터에 설치된다고 한다.


배경 : 롬콤이 처음 발견된 건 2022년 8월의 일이다. 당시에는 쿠바랜섬웨어(Cuba Ransomware)라는 조직과 관련이 있는 단체로 보였다. 하지만 블랙베리는 쿠바랜섬웨어가 핵티비즘과 유사한 행위를 한 번도 한 적이 없다며 그러한 추정에 질문들 던지고 있다. 보안 업체 트렌드마이크로(Trend Micro)도 롬콤을 추적하고 있는데, 아직까지 배후 세력에 대해서는 별 다른 언급이 없다.

말말말 : "아직 롬콤에 대해서 우리가 아는 바는 많이 없습니다. 이번 캠페인도 롬콤이 직접 한 것인지, 롬콤을 흉내 낸 누군가가 한 것인지, 롬콤의 일부 멤버들이 따로 벌인 것인지도 부정확합니다.” -블랙베리-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>