러시아는 샌드웜과 버민 랜섬웨어 공격, 북한은 국내 방산업체 및 사법부 전산망 공격
중국은 국내 교육기관 및 모 업체 공격, 이란의 보이드맨티코어와 담셀플라이 공격 사례
잉카인터넷, 2024년 2분기 국가별 해커그룹 동향 보고서 발표

[보안뉴스 김영명 기자] 올해 2분기에 러시아, 북한, 중국, 이란 등 주요국에서 활동하는 해커들의 동향을 살펴봤다. 잉카인터넷 시큐리티대응센터는 2024년 2분기 국가별 해커그룹의 동향 보고서를 발표했다.


러시아, 샌드웜과 버민 랜섬웨어
먼저 러시아를 살펴보면, 2분기에는 러시아 정부를 배후에 둔 것으로 추정되는 샌드웜(Sandworm)과 버민(Vermin) 해커그룹의 공격 정황이 발견됐다. 샌드웜 해커그룹은 이전에 문서화된 악성코드를 새로운 악성코드와 결합해 공격에 사용했으며, 버민 해커그룹은 피싱 이메일로 악성코드를 유포한 것이 알려졌다.

샌드웜 랜섬웨어는 블랙에너지(BlacEnergy), 시셸 블리자드(Seashell Blizzard), 부두 베어(Voodoo Bear) 및 APT44로도 알려졌으며 러시아의 총참모부(GRU)와 연관된 것으로 추정된다. 우크라이나 컴퓨터 비상대응팀(CERT-UA)에서 샌드웜 해커그룹이 우크라이나의 중요 인프라 시설 약 20곳에 침입한 내용의 보고서를 공개했다. 해당 공격에서는 이전에 사용한 악성코드에 새로운 리눅스용 비아스봇(BIASBOAT)과 로드그립(LOADGRIP) 악성도구를 결합해 인프라 시설에 접근했다고 언급했다.


CERT-UA 측은 이전에 사용한 악성코드는 기본 시스템 정보를 수집하고 원격 서버에서 명령을 실행하는 윈도용 백도어라고 설명했다. 또한 파일 작업과 구성 업데이트 및 자체 삭제 등이 가능하다는 특징이 있다고 덧붙였다. 한편 이번에 사용된 로드그립은 이전 악성코드의 리눅스 변형이며, ptrace API를 사용해 프로세스에 페이로드를 주입할 때 사용됐다고 전했다.

이외에도 비아스봇은 암호화된 파일 서버로 위장해 로드그립과 함께 작동한다고 언급했다. 우크라이나 기관은 공격 대상기업들의 열악한 보안 환경과 소프트웨어 공급 업체의 불충분한 방어가 샌드웜의 쉬운 공격을 가능하게 만들었다고 지적했다.

버민 랜섬웨어는 2022년 10월 이후에 러시아가 거의 점령한 루한스크 인민 공화국(Lugansk People′s Republic, LPR) 지역과 관련이 있으며, 군사 조직에서 민감 정보를 탈취하는 목적이 있는 것으로 알려졌다. 이번에도 우크라이나 방위군에 새로운 악성코드를 유포한 SickSync 캠페인이 발견됐다. 우선 공격자는 암호화된 파일을 첨부한 피싱 메일을 전송한다. 이때 수신자가 파일을 실행하면 합법적인 파일 동기화 소프트웨어인 SyncThing과 SPECTR 악성코드를 포함한 파일이 실행된다.


SPECTR 악성코드는 특정 프로그램 창을 감지해 스크린샷을 찍고, 이동식 USB 미디어에서 파일을 복사하는 등의 기능이 각 모듈로 구성된 특징이 있다고 알려졌다. 공격자는 이러한 특징을 이용해 데이터를 폴더로 복사한 후 공격자의 시스템으로 동기화하는 것으로 드러났다. 이때 SyncThing을 데이터 동기화를 위한 P2P로 악용해 사용자의 문서와 계정 정보 등을 탈취할 수 있었던 것으로 밝혀졌다. 한편 우크라이나 CERT-UA는 공격자가 합법적인 도구를 사용해 보안 시스템의 의심을 피한 것으로 확인된다고 언급했다.

북한의 공격, 국내 방산업체 및 사법부 전산망 공격
다음으로 북한의 공격 동향을 살펴보면, 경찰청은 북한 정부가 배후에 있는 것으로 알려진 해커 그룹이 국내 방산 업체를 공격한 정황을 밝혔다. 또한 국내 사법부를 공격해 탈취한 데이터 중 일부가 외부에서 발견된 소식이 전해졌다.

이번 2분기에는 국내 방산업체를 공격해 방산기술 등의 데이터를 탈취한 사건 소식이 알려졌다. 경찰청은 공격에 사용한 IP 주소와 악성코드 등을 근거로 북한 정부를 배후에 둔 해커그룹의 소행으로 판단했다고 전했다.


경찰청은 총 세 가지의 공격방법에 대해 언급했다. 첫 번째로 공격자가 테스트 목적으로 사용된 망 연계 시스템의 취약한 포트를 악용해 내부망으로 접속했다고 전했다. 두 번째 방법은 방산 협력업체의 서버를 원격으로 유지 보수하는 직원의 계정 정보를 사용해 공격했다고 언급했다. 이때 직원의 상용 전자우편 계정이 사내 업무 시스템의 계정과 일치했던 점을 악용했다고 덧붙였다. 마지막으로 사내 그룹웨어 전자우편 서버에 존재하는 취약점을 이용해 공격한 것이 확인됐다. 해당 취약점은 공격자가 전자우편으로 송수신한 대용량 파일을 외부에서 로그인 없이 다운로드할 수 있다는 것이라고 설명했다.


이외에도 국내 사법부 전산망에서 북한 해커 조직의 소행으로 발생한 침해사고의 수사결과에 대해 발표했다. 법원행정처는 2021년 1월 이전부터 악성코드의 침입이 있었으며 그 이후 6월부터 2023년 2월까지 총 1,014GB의 자료가 외부로 전송된 사실을 확인했다고 전했다. 그 가운데 4.7GB에 해당하는 것으로 알려진 5,171개의 회생 사건 관련 파일이 외부에서 발견됐다.

한편 유출된 자료에 상당한 양의 개인정보가 포함된 것으로 추정되나 구체적인 항목은 파악하지 못한 것으로 알려졌다. 이에 대해 법원행정처는 개별 문건을 분석해 개인정보 항목을 확인할 예정이라고 전하며, 출처가 불분명한 이메일과 문자 및 전화를 수신할 때 주의할 것을 당부했다.

중국의 해킹 공격, 국내 교육기관 및 모 업체 공격 확인
2024년 2분기에도 중국 해킹그룹의 국내 및 해외 공격사례가 발견됐다. 샤오치잉(Xiaoqiying) 출신의 해커가 국내 교육기관을 공격했으며, 벨벳 앤트(Velvet Ant) 해킹그룹은 한 업체의 인프라에 침투했는데, 무려 3년간 발견되지 않은 정황이 전해졌다.

중국 해킹그룹 샤오치잉(Xiaoqiying) 출신으로 알려진 니옌(年)이 또 다시 국내 교육기관을 공격했다고 주장했다. 이번 2분기에 니옌은 제주대와 광운대의 메일 시스템을 공격했다고 주장하며 탈취한 계정 정보를 텔레그램 채널에 공유했다.


한편 제주대의 계정이라고 주장한 정보로 로그인할 경우 사용자가 비활성화됐다는 메시지가 화면에 표시된다는 소식이 전해졌다. 해당 메시지를 근거로 계정 사용자가 졸업생이거나 지금은 사용하지 않는 계정으로 추정된다. 니옌은 올해 1분기에 숙명여대 등 국내 교육기관 외에도 정부 기관들을 공격한 이력이 있다.

중국 정부의 지원을 받는 것으로 알려진 벨벳 앤트(Velvet Ant) 해킹그룹이 한 업체의 시스템에 침투한 후에 약 3년간 발견되지 않은 소식도 전해졌다, 보안업체 시그니아(Sygnia) 측은 이번에 발견된 벨벳 앤트의 공격사례에서 여러 특징을 언급했다.


우선 공격자가 침투한 시스템에서 여러 거점을 확립해 오랫동안 지속성을 유지했다는 점이다. 이에 대해 한 거점이 발견되면 재빠르게 다른 거점으로 전환하면서 탐지를 회피했다고 덧붙였다. 또한 2008년부터 여러 중국 해킹그룹에서 사용한 원격 접속 트로이목마(RAT) PlugX를 사용했다고 전했다. 이 외에도 네트워크 트래픽을 관리하고 보안 서비스를 제공하는 F5 BIG-IP를 악용해 공격에 사용했다고 설명했다. 이때 공격자는 인터넷에 노출된 F5 BIG-IP에 침투해 장악한 후 손상된 F5 어플라이언스를 내부 C&C 서버로 사용한 것으로 알려졌다. 해당 공격에 EGO Sygnia 측은 아웃바운드 인터넷트래픽과 네트워크 전체에서 측면 이동을 제한하는 등의 벨벳 앤트 조직에 대한 방어 방법을 안내하고 있다.

이란, 보이드맨티코어와 담셀플라이 공격 발견
이란 출신의 해커 그룹인 보이드맨티코어(Void Manticore)와 담셀플라이(Damselfly) 해킹그룹의 공격사례가 2분기에 발견됐다. 보이드맨티코어 해킹그룹은 카르마(Karma) 해킹그룹과 협력한 정황이 알려졌으며, 담셀플라이 해킹그룹은 사회공학적 성격으로 네트워크와 클라우드 환경을 공격한 소식이 전해졌다.

보이드맨티코어는 Storm-842라고도 불리며 이란의 정보 및 보안부(MOIS)에 소속된 것으로 알려졌다. 외신에서는 최근에 해당그룹이 카르마 해킹그룹과 협력해 이스라엘과 알바니아를 공격했다고 보도했다. 글로벌 보안업체 체크포인트 측은 이번 공격에서 웹셸과 수동 삭제 도구 및 사용자 정의 와이퍼 등 다양한 도구를 사용해 공격을 시도한 정황을 발견했다고 전했다. 특히 오류 페이지로 위장한 카르마 셸을 이용해 프로세스 생성과 파일 업로드 등 공격자의 명령을 실행한다고 언급했다. 이를 통해 공격자는 도메인 자격증명의 인증을 확인한 후 네트워크 정보를 수집했다고 설명했다. 또한, 수집된 정보는 OpenSSH 클라이언트를 사용해 공격자의 C&C 서버로 전송했다고 덧붙였다.


담셀플라이 해킹그룹은 이란 혁명수비대(IRGC)에 소속돼 이란 내에서 정치와 외교 정책 및 정권 안정 등을 목적으로 특정 개인과 조직을 공격하는 것으로 알려졌다. 글로벌 보안업체 맨디언트는 담셀플라이가 2022년 9월부터 활동했으며, 이번 공격으로 중동의 NGO와 언론기관 및 법률 서비스 등에서 피해가 발생했다고 전했다. 맨디언트 측은 공격자가 네트워크 초기 접근권한을 얻기 위해 피해자에게 지속적인 연락을 하면서 신뢰를 구축했다고 언급했다. 그 이후에 권한을 획득한 공격자는 오픈소스 도구를 사용해 탐지를 회피하면서 데이터를 탈취했다고 설명했다.

이번 공격에서 공격자에게 명령 실행 인터페이스를 제공하거나 추가 악성코드를 배포하기 위해 나이스컬(Nicecurl)과 테임캣(Tamecat)이라는 두 가지 백도어가 사용됐다고 전했다. 이에 대해 외신은 담셀플라이의 공격 방법이 최소한의 흔적만 남기고 네트워크 활동을 탐지하기 어렵게 만든다고 언급했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>