이란의 APT 그룹, 정상적인 이스라엘 보안 업체 흉내 내
일부 페이지에서 차밍 키튼 공격과 관련된 캠페인 설명되어 있어

[보안뉴스 문가용 기자] 이란 해커들이 이스라엘의 보안 업체를 흉내 내면서 사이버 정찰 활동을 실시했다. 이를 발견한 건 이란 해커들이 흉내를 낸 바로 그 보안 기업인 클리어스카이 사이버 시큐리티(ClearSky Cyber Security)다.


클리어스카이를 흉내 낸 해커들은 APT35, 뉴스비프(NewsBeef), 뉴스캐스터(Newscaster), 차밍 키튼(Charming Kitten)이라는 이름으로 불린다. 이들은 최소 2011년부터 활동해 온 단체로, 이미 여러 차례 그 행적이 분석된 바 있다.

2017년 12월 클리어스카이는 차밍 키튼이 2016년부터 2017년까지 활동한 내역을 상세히 소개하는 보고서를 발표했다. 차밍 키튼이 사용하고 있는 공격 인프라는 물론 이들이 사용하는 멀웨어인 다운페이퍼(DownPaper)를 처음으로 공개하기도 했다.

그러면서 클리어스카이는 차밍 키튼과 한 인물과의 연관성도 밝혔다. 이 인물은 베자드 메스리(Behzad Mesri) 혹은 스코트 바샤트(Skote Vahshat)라고 알려진 사람으로, 2017년 11월에 HBO을 해킹했다는 혐의를 받고 기소됐다. 베자드 메스리는 차밍 키튼의 일원이나 관계자로 보이며, 클리어스카이는 두 명의 관련 인물을 추가로 적발하는 데 성공했다.

그러고 나서 약 반년 후인 지금, 클리어스카이가 새로운 보고서를 발표했는데, 그게 바로 “차밍 키튼이 클리어스카이를 흉내 내면서 사이버 공격을 하고 있다”는 것이다. 트위터를 통해 클리어스카이는 “차밍 키튼이 우리 회사를 흉내 내어 피싱 웹사이트를 만들었다”고 하며 “clearskysecurity.net이 그 주소인데, 우리 회사의 진짜 주소는 clearskysec.com이다”라고 밝혔다.

차밍 키튼은 클리어스카이의 진짜 웹사이트의 페이지 전체를 그대로 복사해 피싱 사이트를 구축했다. 거기다가 크리덴셜을 입력하게 하는 페이지를 슬쩍 끼어 넣었는데, 여기에 정보를 입력한 사람들은 사실 차밍 키튼에 정보를 제공한 것이다.

“크리덴셜을 수집하기 위해 의도적으로 이런 사이트를 만든 것으로 보입니다. 클리어스카이의 공식 웹사이트에서는 로그인 기능이 한 개도 없어요. 그걸 잘 모르는 분들은 속을 수 있었을 것 같습니다. 또한 이 가짜 사이트는 아직도 한창 공사 중인 것으로 보입니다. 일부 페이지에 접속하면 오류 메시지만 뜨거든요.”

또한 사이트의 한 페이지에는 차밍 키튼이 벌이고 있는 캠페인과 관련된 내용이 업로드 되어 있기도 했다. 몇 주 전에 클리어스카이가 낱낱이 실체를 드러냈던 캠페인이라고 한다. “해당 페이지의 경우 클리어스카이의 웹사이트인 것처럼 보이려는 시도도 없었습니다.”

클리어스카이가 이러한 발표를 한 직후부터 가짜 클리어스카이 웹사이트에 접속하면 경고 메시지가 나오기 시작했다. 클리어스카이는 자사 고객을 노렸을 가능성을 염두에 두고 조사를 시작했으나, 피해자는 발생하지 않은 것으로 밝혀졌다.

이란은 최근 수년 동안 다양한 해킹 공격을 시도했고, 여러 해킹 단체가 이란으로부터 나오기도 했다. APT33, 로켓 키튼(Rocket Kitten), 매직 하운드(Magic Hound), 카피키튼(CopyKittens) 등이 대표적이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>