아제르바이잔의 에너지 기관 노린 공격자들, 전에 없던 새 멀웨어 심기 시작
포잇랫이라는 원격 접근 트로이목마...추가로 다른 기능 가진 공격 도구 받기도 해

[보안뉴스 문가용 기자] 아제르바이잔을 표적으로 삼는 사이버 공격 행위가 발견됐다. 이를 발견한 시스코 탈로스 팀에 의하면 에너지 분야가 특히 중요 표적이 되고 있으며, 풍력 발전용 터빈의 SCADA 시스템들이 현재로서 심한 타격을 받고 있다고 한다.


현재 공격을 받고 있는 건 정부 조직들과 민간 부문의 기업들 모두다. 주로 원격 접근 트로이목마(RAT)를 심는 공격이 이어지고 있는데, 탈로스 팀에 의하면 여태까지 본 적이 없는 멀웨어라고 한다. 따라서 아직까지 공격자에 대한 정보가 전혀 없는 상황이다. 다만 에너지 분야나 ICS 공격에 관심이 깊은 자로 보인다고 한다.

이번에 새롭게 발견된 멀웨어는 파이선을 기본으로 해 만든 RAT로, 이를 처음 본 탈로스 팀은 포잇랫(PoetRAT)이라는 이름을 붙였다. 포잇랫을 특정 장비에 심은 공격자는 다음과 같은 명령을 포잇랫에 전달해 수행할 수 있다.

1) 파일 목록 확인
2) 시스템 정보 확보
3) 파일 다운로드와 업로드
4) 스크린샷 캡처
5) 파일 복제와 이동
6) 레지스트리 변경
7) 파일 숨기기와 숨기기 해제
8) 프로세스 열람과 삭제
9) OS 명령 실행

현재까지 발견된 바 포잇랫은 특수하게 조작된 워드 문서들을 통해 배포되고 있다. 지난 2월에 발견된 캠페인의 경우, 워드 문서 내에 인도 국방부 산하의 방어연구개발조직의 공식 로고가 첨부되어 있기도 했다. 물론 원본보다는 약간 흐린 버전이었다. 그러나 탈로스는 아직까지 인도가 공격의 표적이 되고 있다는 증거를 발견할 수 없었다고 한다.

이번 달에 발견된 또 다른 캠페인의 경우 악성 워드 문서들이 전부 COVID-19 사태와 관련된 제목을 달고 있기도 했다. 문서들은 전부 러시아어로 작성되어 있었는데, 마치 아제르바이잔 정부의 공식 문서인 것처럼 위조되어 있었다.

이러한 악성 문서들이 호스팅 되어 있는 서버에는 아제르바이잔 정부의 웹 메일 서비스인 mail.gov.az를 흉내 낸 가짜 로그인 페이지도 호스팅 되어 있었다.

포잇랫에 감염된 장비들로 공격자들은 다른 공격 도구들을 다운로드 시키기도 했다.
1) FTP나 이메일로 데이터 빼돌리는 도구
2) 웹캠으로 피해자를 녹화하는 도구
3) 키로거
4) 크리덴셜 탈취 도구
5) 권한 상승 도구

3줄 요약
1. 아르젠바이젠 에너지 분야를 노리는 사이버 공격 발견됨.
2. 악성 워드 문서를 통해 포잇랫이라는 생전 처음 등장한 멀웨어가 배포되고 있음.
3. 각종 정보를 빼가고 있는데, 그 중에서도 풍력 발전 터빈과 관련된 것이 많음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>