요약 : 보안 외신 해커뉴스에 의하면 라쿤(Racoon) 백도어가 중동과 아프리카, 미국의 조직들을 겨냥해 활발히 활동하는 중이라고 한다. 라쿤은 다크웹에서 쉽게 구할 수 있는 백도어이므로 중요한 건 누가 이걸 활용하느냐인데, 아직 이 부분에 대해서는 알려진 바가 없다. 피해가 발생하고 있는 곳은 분야별로 나눴을 때 교육, 부동산, 도소매, 비영리, 통신, 정부 기관 등 광범위하다. 이런 피해자들의 구성이나, 공격자들이 라쿤을 퍼트리기 위해 사용하는 탐지 우회 전략 등을 봤을 때 APT 조직일 가능성이 높은 것으로 전문가들은 보고 있으며, 보안 업체 팔로알토네트웍스(Palo Alto Networks)는 이 미지의 그룹에 CL-STA-0002라는 임시 이름을 붙여 추적하고 있다.


배경 : CL-STA-0002는 라쿤 외에도 미미라이트(Mimilite)와 앤톱시(Ntopsy)라는 공격 도구를 같이 활용하고 있기도 하다. 미미라이트는 미미캐츠(Mimikatz)라는 악명 높은 해킹 도구의 변종 중 하나이며, 앤톱시는 크리덴셜을 훔쳐 원격 서버로 보내는 기능을 가지고 있다. 미미라이트와 라쿤은 환경과 관련된 비영리 단체와 정부 기관에 주로 활용되고 있고, 그 외 나머지 피해자들에게서는 미미라이트가 발견되는 중이라고 한다.

말말말 : “저희가 이전에 CL-STA-0043이라고 이름 붙여 추적했던 미확인 공격 단체도 앤톱시를 활용했었습니다. CL-STA-0043의 피해 조직 중 두 곳이 CL-STA-0002에 의해 다시 당했습니다. 희미한 연관성일 뿐이라 아직 결론을 내리기에는 이릅니다만 겹치는 부분이 분명히 있습니다.” -팔로알토네트웍스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>