병원, 컨설팅 업체 등 20곳 이상 다양한 업종에서 새로운 피싱 공격 발견
이번 공격, 2016년 11월 마지막으로 관찰된 APT29의 피싱 캠페인과 직접 연결

[보안뉴스 김경애 기자] APT29로 추정되는 공격그룹의 새로운 피싱 활동이 감지됐다. 스무 곳 이상의 다양한 업종에서 공격 시도가 발견됐으며, APT29와 연관된 흔적이 곳곳에서 발견됐다.


글로벌 보안기업 파이어아이 측은 “지난 11월 14일 공격자는 특정 병원의 이메일 서버와 특정 컨설팅 업체의 웹사이트를 해킹해 이들의 인프라를 이용해 피싱 이메일을 전송한 것으로 보인다”며 “해당 피싱 이메일은 미 국무성의 공보 담당자가 보낸 보안 커뮤니케이션인 것처럼 보이도록 조작됐다. 또한, 미 국무성 공보 담당자의 개인용 드라이브로 위장된 페이지에서 호스팅이 이뤄졌으며 미 국무성의 공식 양식이 사용됐다”고 밝혔다.

해커는 미 국무성 공보 담당자가 공식 문서를 공유하려는 것으로 위장하기 위해 피싱 이메일을 만들어냈다. 이메일 내 링크로 연결되는 압축 파일에는 공격용으로 조작된 윈도우용 바로가기 파일이 포함되어 있었으며, 해킹된 것으로 보이는 정상 도메인 ‘jmj[.].com’에서 호스팅된 것으로 분석됐다. 해당 바로가기 파일은 파워셸(PowerShell) 명령을 실행해 바로가기 파일 내에 존재하는 추가적인 코드를 열람, 디코딩한 후 실행하도록 조작됐다.

공격 단체는 피싱 이메일마다 고유 링크를 사용했으며, 해당 링크는 하나의 압축(ZIP) 파일을 다운로드 하도록 사용됐다. 해당 파일에는 공격용으로 조작된 윈도우용 바로가기 파일이 포함되어 있으며, 평범한 유인용 문서와 공격 단체가 정상적인 네트워크 트래픽 내에 숨어들 수 있도록 맞춤 구성된 코발트 스트라이크 비컨 백도어를 동시에 호출한다.

특히, 이번에 발견된 피싱 이메일과 네트워크 인프라에 투입된 리소스, 공격용으로 조작된 바로가기 파일 페이로드(payload)의 메타데이터(metadata) 등은 2016년 11월에 마지막으로 관찰된 APT29의 피싱 캠페인과 직접적으로 연결된다.

두 피싱 캠페인 모두 미국 선거 직후에 벌어졌으며, 기술적으로 중첩되는 것으로 조사됐다.또한, 이번에 발견된 피싱 캠페인은 동일한 시스템을 이용해 윈도우용 바로가기(LNK) 파일을 공격용으로 조작했고, 기존 피싱 TTP를 고의적으로 재사용하는 등 특이하고 새로운 요소도 포함돼 있다.

이번 피싱 캠페인과 2016년 피싱 캠페인 간의 뚜렷한 유사점에 대해 파이어아이 측은 “윈도우용 바로가기 메타데이터, 목표 대상이 된 단체 및 특정 개인, 피싱 이메일의 구조, 그리고 해킹한 인프라를 사용했다는 점”이라며, “또한, 이번 피싱 캠페인 동안 악성 소프트웨어를 호스팅하는 사이트들이 선별적으로 페이로드를 제공했다는 몇 가지 증거가 발견됐다”고 밝혔다.

차이점은 맞춤 구성식 악성 소프트웨어가 아닌 코발트 스트라이크를 사용했다. 또한, 상당히 정교한 기술을 사용하는 APT29가 노골적인 실수를 보였다. 이는 러시아 정보기관이 전통적으로 활용해온 속임수를 고려할 때 다소 의구심이 드는 부분이다.

이번 피싱 활동과 관련해 파이어아이 측은 “이번에 발견된 피싱 캠페인 활동은 현재도 진행 중이지만, APT29의 소행으로 보이는 속성이 더욱 공고해질 경우 1년 만에 공격 활동이 처음으로 밝혀지게 된다”며 “목표 대상을 광범위하게 잡는다는 특성을 고려할 때, APT29의 공격 대상이었던 기관들은 이번 피싱 활동을 예의주시해야 한다. 네트워크 관리자들의 경우, 이번 피싱 활동이 APT29의 소행인지 여부와 관계없이 실제로 침입에 성공할 경우 치명적인 만큼 침입 시도의 전체 범위를 적절히 조사해야 한다”고 강조했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>