요약 : 보안 외신 해커뉴스에 의하면 러시아의 해킹 조직인 APT28이 폴란드를 겨냥해 대규모 멀웨어 유포 작전을 펼쳤다고 한다. 특히 여러 정부 기관이 표적이 되고 있다고 한다. 폴란드 CERT에 의하면 폴란드 정부 요원들이 관심을 가질만한 내용의 메일을 APT28이 발송했으며, 그 메일 안에는 악성 링크가 포함되어 있었다고 한다. 이 링크를 클릭하면 run.mocky.io라는 사이트로 접속이 된 후 다시 webhook.site로 연결된다. 거기서부터 한 zip 파일이 다운로드 되며, 그 안에는 악성 스크립트와 DLL 파일이 숨겨져 있다고 한다. 이것들이 실행되면 정보가 수집되어 러시아 공격자들에게로 전송된다.


배경 : 이 캠페인을 통해 백도어 멀웨어가 상당히 퍼져나간 것으로 알려져 있다. 문제의 백도어는 아직 정확히 분석되지는 않았지만 기존의 백도어인 헤드레이스(HeadLace)와 상당히 유사한 점이 많다고 폴란드 CERT 측은 주장하고 있다. 위에 언급된 mocky와 webhook 사이트들은 다 정상 사이트들로, 이런 정상 사이트들로 여러 차례 접속을 유도하는 건 최근 APT28이 자주 사용하는 전략이다.

말말말 : “mocky와 webhook을 사업적으로 활용하는 게 아니라면 아예 접속을 금지시키는 게 안전합니다.” -폴란드 CERT-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>