엘핀 혹은 APT33이라고 알려진 공격 단체, 사우디와 미국 정찰해
기성 도구와 자체 제작 도구 혼합해 사용...윈라에서 발견된 취약점도 활용

[보안뉴스 문가용 기자] 이란 정부와 관련이 깊어 보이는 사이버 해킹 단체인 엘핀(Elfin) 혹은 APT33이 사우디아라비아와 미국을 겨냥한 공격을 진행 중에 있는 것이 보안 업체 시만텍(Symantec)에 의해 발견됐다.


APT33은 2015년 후반기부터 보안 업계의 눈에 띄기 시작한 사이버 정찰 단체다. 시만텍은 2016년 초부터 APT33을 추적 및 관찰해왔고, 정부 기관, 연구 기관, 화학 산업, 엔지니어링 산업, 컨설팅 업체, 금융 기관, 생산 시설, 통신 산업을 집중적으로 노린다는 것을 알아냈다. 특히 중동에서 높은 활동량을 보였다.

시만텍이 적발한 공격들 중 42%는 사우디아라비아를 겨냥한 것이었고, 34%는 미국의 여러 조직들에 피해를 입혔다. “지난 3년 동안 18개의 미국 조직들이 APT33의 공격에 당했는데, 이 중에는 포춘 500대 기업에 속한 곳도 많습니다. 엔지니어링, 연구, 화학, 에너지, IT, 금융, 의료 산업이 고루 피해를 입었습니다.”

시만텍은 공격의 목적 중에 “공급망 공격”도 있다는 의견이다. “한 번은 미국의 큰 조직이 엘핀의 공격에 당했습니다. 그런데 같은 달에 그 회사가 중동에 소유하고 있는 회사도 같은 공격에 당했어요. 공격자들이 대형 공급망을 노리고 공격을 실시했다고 유추할 수 있는 부분입니다.”

APT33은 흔히 매장에서 구매할 수 있는 도구와 직접 만든 멀웨어를 혼합해서 사용하기도 했다. 이들이 직접 만든 멀웨어에는 노트스툭(Notestuk) 혹은 턴덤(TURNEDUP), 스톤드릴(Stonedrill), 오토잇(AutoIt) 언어로 만든 백도어 하나가 대표적이다.

다른 해커들 사이에서도 흔히 사용되는 도구 중 APT33이 활용한 건 렘코스(Remcos), 다크코멧(DarkComet), 쿼사 RAT(Quasar RAT), 퓨피 RAT(Pupy RAT), 나노코어(NanoCore), 넷위어드(NetWeird) 등이 있다. 미미캣츠(Mimikatz), 스니프패스(SniffPass), 라자냐(LaZagne), Gpp패스워드(Gpppassword) 등과 같은 유명 툴들도 사용한 적이 있다.

지난 달의 공격에서 APT33은 CVE-2018-20250이라는 취약점을 악용했다. 이는 최근 윈라(WinRAR)라는 압축 프로그램에서 발견된 것으로, 공격자들이 임의의 위치에 악성 파일을 심을 수 있게 해준다. 공격자들이 윈도우의 ‘시작 프로그램’ 폴더에 악성 프로그램을 설치하게 되면, 지속적인 공격마저 가능하게 된다.

이 윈라 취약점은 사우디아라비아의 한 화학 업체를 대상으로 활용됐다. APT33만이 아니라 다른 해킹 그룹들도 현재 이 취약점을 활발히 연구 및 활용 중에 있는 것으로 보인다. 북한의 라자루스도 얼마 전 이 취약점을 통해 이스라엘의 군수 업체를 해킹했다.

2018년 12월에는 APT33은 샤문3(Shamoon 3)이라는 취약점을 통해 에너지 산업을 공격하기도 했다. 이 역시 시만텍이 적발했는데, APT33의 소행일 가능성이 높다고 분석했다. 또 다른 보안 업체 맥아피(McAfee) 역시 APT33이거나, APT33을 흉내 낸 단체가 벌인 일이라고 결론을 내렸다.

“당시의 샤문 공격과 이번의 공격은 시기적으로 매우 가까운 때에 발생했습니다. 따라서 이 샤문 공격의 배후 세력과 APT33 사이에 어떤 연결고리가 있을 가능성이 높다고 유추할 수 있습니다. 그러나 이것 외에는 추가 증거물을 더 발견할 수가 없었습니다. 따라서 지금 시점에서 APT33이 샤문 공격을 저지른 그룹이라고 결론을 내리기는 힘든 상황입니다.”

3줄 요약
1. 이란의 해킹 단체, 사우디아라비아와 미국을 겨냥해 공격 펼치고 있음.
2. 이 와중에 확인할 수 있는 윈라 취약점의 높은 인기.
3. 심지어 작년 12월의 샤문 공격 역시 APT33과 관련이 있을 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>