요약 : 보안 블로그 시큐리티어페어즈에 의하면 러시아의 APT 조직인 콜드리버(COLDRIVER)가 커스텀 멀웨어를 사용해 피해자를 늘리고 있다고 한다. 구글로부터 나온 경고로, 최근 들어 PDF가 첨부된 피싱 메일을 가지고 자신들이 개발한 백도어를 유포하는 중이라는 내용이다. 출판을 계획하고 있으니 해당 PDF를 점검해 달라는 식으로 피해자에게 접근하는데 여기에 속아 PDF를 열 경우 텍스트가 좀 보이다가 만다. 보이지 않는다는 메일을 답장으로 보내면 공격자는 링크를 하나 보내준다. 텍스트를 제대로 보려면 링크를 눌러 소프트웨어를 설치해야 한다고 안내한다. 피해자가 이 절차마저 밟으면 콜드리버의 새 백도어가 설치된다.


배경 : 콜드리버는 최소 2015년부터 활동해 온 조직으로 스타블리자드(Star Blizzard), TA446, 칼리스토(Callisto)라는 이름으로도 불린다. 주로 NATO 회원국들을 겨냥해 정보 탈취 공격을 진행해 왔다. 하지만 최근 들어 발트해 연안 국가들과 동유럽 국가들도 공격하는 중인 것으로 분석됐다. 우크라이나 전 때문에 러시아를 적대시하는 국가들이 늘어나면서 콜드리버 역시 공격 대상을 늘린 것으로 분석된다.

말말말 : “콜드리버가 새롭게 만든 백도어의 이름은 스피카(SPICA)입니다. 디스크에 저장되며, C&C 서버와 연결되어서 여러 명령을 수행합니다.” -구글-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>