• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

러시아의 TA505, 미국·UAE·싱가포르·한국 노리고 공격 실시 2019.07.08

새로운 다운로더 동원...이름은 안드로멋, 플로드애미 설치하는 기능 가져
대규모 공격 주로 실시하던 그룹, 얼마 전부터 표적 공격으로 전략 바꿔

[보안뉴스 문가용 기자] 러시아의 해킹 단체인 TA505가 미국, UAE, 싱가포르, 한국의 금융권에서 일하는 사람들을 노리는 표적 공격을 실시하기 시작했다. 특히 이번 캠페인에서는 새로운 멀웨어를 사용해 원격 접근 툴(RAT)을 다운로드하는 것이 눈에 띈다.

[이미지 = iclickart]


얼마 전 보안 업체 프루프포인트(Proofpoint)는 “TA505가 새로운 다운로더가 첨부된 악성 이메일을 수십만 개 배포하기 시작했다”고 경고했다. 이 다운로더의 이름은 안드로멋(AndroMut)이라고 한다. 캠페인은 두 개로 나뉘는데, 미국, UAE, 싱가포르를 겨냥한 캠페인이 하나고, 한국의 개인들을 노리는 공격이 다른 하나라고 한다.

두 가지 캠페인 사이에는 공통점도 존재하고 차이점도 존재한다. 공통점이라면 안드로멋을 통해 플로드애미(FlawedAmmyy)라는 RAT가 설치된다는 것이다. 플로드애미를 통해 공격자들은 침해한 장비에 대한 통제권을 가져갈 수 있게 되며, 사용자의 활동 사항을 모니터링하고 시스템 정보나 크리덴셜을 훔쳐갈 수 있게 된다.

플로드애미는 2016년 처음 등장한 멀웨어로 애미(Ammyy)라는 정상 원격 관리 툴을 기반으로 하고 있다. 애미의 소스코드가 유출되면서 등장한 것이 플로드애미다. TA505는 이전 캠페인에서도 플로드애미를 사용한 적이 있다.

“그 외에도 TA505는 여러 가지 정상 툴들을 공격에 남용하는 모습을 보여줍니다. 예를 들어 코발트 스트라이크(Cobalt Strike)라는 정상 모의 침투 테스트용 툴도 공격에 활용하고요. 이렇게 정상적인 툴들을 공격에 활용하는 건 공격자들 사이에서 유행처럼 번지고 있는 중입니다. 팀뷰어(Team Viewer)나 VNC와 같은 툴들이 대표적인 사례입니다.” 프루프포인트의 위협 첩보 분석가인 크리스 도슨(Chris Dawson)의 설명이다.

한편 안드로멋 다운로더는 지난 달에 처음 발견된 새로운 멀웨어다. C++로 작성되었으며, 안드로메다(Andromeda)라는 다운로더 멀웨어와 여러 모로 닮은꼴이라고 한다. 안드로멋은 암호화와 난독화 기술을 사용해 API를 호출함으로써 탐지를 피해가도록 구성되어 있으며, 분석 방해 기능도 몇 가지 내포하고 있다. “샌드박스, 디버거, 마우스 움직임 등을 확인하기도 합니다.”

도슨은 “TA505는 지난 몇 년 동안 색채가 뚜렷하게 바뀐 그룹”이라고 설명한다. “원래는 무작위 공격을 다량으로 살포하는 방식을 사용하는 그룹이었습니다. 랜섬웨어와 뱅킹 트로이목마를 여기 저기 흘리고 다녔었죠. 하지만 지금은 표적 공격을 주로 하는 것으로 전략을 바꿨습니다.”

그래서 그런지 최근 TA505의 공격에는 고급 다운로더와 RAT가 자주 등장한다고 도슨은 말한다. “다운로더와 RAT를 사용하면 조용히 공격할 수 있습니다. 그래서 개인이나 조직이나 감염되고도 그 사실을 인지 못할 때가 많습니다. 공격자가 추가로 공격 툴을 더 설치해 암호화폐를 채굴하거나 정보를 바깥으로 빼돌리면 그제야 눈치를 채죠.”

프루프포인트는 안드로멋에 설치된 각종 분석 방해 및 탐지 우회 기능을 지적한다. “이제는 다운로더에도 이런 방해 기능들이 설치되어 있을 정도입니다. 다단계 감염 기법도 흔한 것이 되었고, 백신 한두 개는 얼마든지 피해갈 수 있는 시대라는 것입니다. 그렇기에 심층 방어 혹은 레이어드 시큐리티(layered security)가 중요해집니다. 서버부터 엔드포인트까지 여러 층의 방어막으로 둘러싸야 합니다.”

프루프포인트는 “TA505라는 위협이 가진 위험성이 점점 커지고 있다”며 “모든 조직들이 경계해야 할 대상”이라고 말한다. “그 동안 TA505는 록키(Locky) 랜섬웨어를 퍼트리고, 대규모 이메일 공격을 하는 등 기업과 기관들을 꾸준하게 괴롭혀왔습니다. 그러던 그룹이 이제 표적 공격을 할 줄 알게 되면서 더 위험한 존재가 됐습니다.”

도슨은 “2017년과 2018년 전반기 동안 TA505가 얼마나 많은 이메일 공격을 실시했는지, 전 세계적인 악성 이메일의 용량 자체가 확 늘어났다”며, “지금은 표적 공격을 하고 있다지만, 언제고 다시 대용량 공격을 실시할 수 있는 단체”라고 설명을 덧붙였다.

또한 도슨은 “TA505가 전 세계 해킹 범죄자들의 흐름을 선도하는 경향도 있는 것 같다”고 개인적인 감상을 덧붙이기도 했다. “TA505가 대규모 공격에서 보다 작은 표적 공격으로 방향을 선회하고부터, 갑자기 다른 해킹 범죄자들도 표적 공격을 하기 시작했습니다. 우연인지도 모르겠지만 이들을 지켜보는 게 보안 업계만은 아닌 것 같습니다.”

3줄 요약
1. 러시아의 해킹 범죄 단체 TA505, 최근 두 가지 공격 캠페인 실시하기 시작.
2. 하나는 미국, UAE, 싱가포르의 사용자 개인을 노리는 공격, 다른 하나는 한국 사용자 노리는 것.
3. 이번 캠페인에서는 새로운 다운로더인 안드로멋이 발견되기도 함. 목적은 플로드애미 설치하는 것.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>