요약 : 보안 외신 해커뉴스에 의하면 핵티비스트 그룹인 트웰브(Twelve)가 러시아의 단체들을 겨냥해 사보타주 공격을 실시하고 있다고 한다. 데이터를 겨냥하여 암호화 하거나 삭제하는 일을 감행하고 있는 건데, 사용되는 도구는 이미 세상에 공개된 것들이라고 한다. 이들은 피해자 측에 돈을 요구하지도 않고 그냥 데이터를 못 쓰게 만드는 것 자체에 의의를 두고 있는 것으로 보인다. 또한 민감하다 싶은 데이터는 따로 빼돌려 유출시키고 있기까지 하다고 보안 업체 카스퍼스키(Kaspersky)가 알렸다. 흥미로운 건 트웰브가 다크스타(DARKSTAR)라는 랜섬웨어 그룹과 같은 인프라를 사용하고 있다는 것으로, 두 단체 간의 연관성이 의심되고 있다.


배경 : 트웰브는 2023년 4월에 처음 형성돼 활동을 시작한 핵티비스트 단체다. 랜섬웨어 그룹과 같은 인프라를 사용하고 있다는 것 외에는 그 어떤 범죄 활동이나 APT 조직의 행동 패턴을 보인 적이 없다. 따라서 지금까지는 핵티비스트로 분류되고 있다. 인프라를 공유하는 다크스타의 경우 이중 협박이라는, 전형적인 랜섬웨어 조직의 패턴을 따르고 있다.

말말말 : “트웰브는 데이터를 무용지물로 만들기 위해 록빗 3.0(LockBit 3.0)이라는 악명 높은 랜섬웨어 페이로드와 샤문(Shamoon)이라는 와이퍼 멀웨어를 사용하고 있습니다. 이미 대중에 공개된 멀웨어들이죠. 트웰브 스스로 뭔가를 개발하지는 않는 것으로 보입니다.” -카스퍼스키-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>