요약 : 보안 외신 해커뉴스에 의하면 러시아의 해킹 조직인 털라(Turla)가 유럽연합 내 NGO들을 침해해 타이니털라NG(TinyTurla-NG)라는 백도어를 심었다고 한다. 시스코 탈로스(Cisco Talos) 팀이 발견한 바에 의하면 2023년 10월부터 캠페인이 진행된 것으로 보인다고 하며, 정보 탈취를 주요 목적으로 한 캠페인일 가능성이 높다고 한다. 주로 우크라이나를 지원하는 것과 관련된 단체들의 정보가 외부로 새나갔으며, 특히 우크라이나의 이웃나라인 폴란드에서 활발한 활동이 발견되는 중이다.


배경 : 털라는 먼저 피해자 시스템의 MS 디펜더의 설정을 건드리는 것으로 분석됐다. 그런 후 아무런 경보가 울리지 않는 상태에서 타이니털라NG를 심으며, 그 후 sdm이라는 악성 서비스를 생성한다고 한다. sdm은 ‘시스템 장비 관리자(System Device Manager)’라는 정상 프로세스를 흉내 낸 것으로 보인다. 타이니털라는 파일시스템에서 여러 파일을 탈취한 뒤 C&C 서버로 전송한다.

말말말 : “이들은 시스템에 침투하여 정보 탈취 등의 악성 행위를 여러 번 반복하여 실시합니다. 정보 탈취 공격자들은 한 번 공격하여 빠지는 것이 아니라 오랜 시간 시스템에 남아 최대한 많은 정보를 빼가려고 하는 편입니다.” - 탈로스 시스코-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>