• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

이스라엘에 피해 입히고 있는 아그리오스, 이란의 APT로 보여 2021.05.27

이스라엘의 일부 기업들과 단체들에서 데이터가 삭제되는 피해가 발생하고 있다. 공격의 배후에는 아그리오스라는 신생 해킹 조직이 있는 것으로 밝혀졌는데, 파면 팔수록 이들이 이란 정부와 관련이 있는 것으로 보인다고 한다.

[보안뉴스 문가용 기자] 한 APT 단체가 이스라엘의 여러 조직들을 대상으로 데이터 삭제 공격을 집요하게 실시해 왔다는 사실이 공개됐다. 이 단체는 이란 정부와 관련이 있는 것으로 보이며, 2020년 11월부터 활동을 시작했다고 한다. 상세한 내용을 보안 업체 센티넬원(SentinelOne)이 발표했다.

[이미지 = Pixabay]


발표에 의하면 공격 단체의 이름은 아그리오스(Agrius)다. 비교적 신생 단체로 분류되며, 거의 대부분 ‘파괴적 공격’을 실시한다. 자신들의 이익도 도모하지만, 표적의 피해를 더 추구한다는 것이다. 이들은 주로 랜섬웨어인 것처럼 자신들의 공격 행위를 위장하고, 피해자들이 데이터를 복구하기 위해 쩔쩔 맬 때, 뒤에서 데이터를 삭제한다.

아그리오스가 최초 침투를 위해 주로 사용하는 전략은 취약점 익스플로잇이다. 공격 대상이 사용하고 있는 여러 웹 애플리케이션들의 ‘공개된 취약점’들이 주요 공략 대상이다. 그 중 CVE-2018-13379가 주로 활용되는 중이라고 센티넬원은 경고했다. 포티넷(Fortinet)의 포티OS(FortiOS)에서 오래 전에 발견된 경로 조작 취약점이다. 제로데이 취약점을 노리는 경우는 아직까지 없었다고 한다.

각종 취약점 익스플로잇으로 최초 침투에 성공한 아그리오스는 웹셸을 업로드한다. 그리고 이를 통해 횡적으로 움직이기 시작한다. 주로 ASPX스파이(ASPXSpy)라는 웹셸의 여러 변종들을 활용하는데, ASPX스파이는 원격 시스템을 제어할 수 있도록 해 주는 악성 스크립트다. 이를 통해 추가 멀웨어가 심기기도 한다.

센티넬원의 수서거 위협 연구원인 J.A 게레로사드(J.A. Guerrero-Saade)는 “아그리오스는 먼저 정찰 공격부터 실시하면서 네트워크 전반을 장악한다”고 설명한다. “횡적으로 움직이면서 필요한 정보와 첩보를 수집하죠. 그러면서 필요한 부분들에 백도어들을 설치하고요. 필요한 정보를 다 가져갔다고 판단하면, 그 다음은 파괴를 시작합니다. 와이퍼(wiper)를 사용해 피해자의 데이터를 지우는 것이죠.”

이 공격은 무차별적으로 진행되는 것으로 보이지는 않는다. 아직까지 피해를 입은 조직이 많지는 않다. “표적 공격이 의심되고 있습니다. 그리고 그 표적은 이스라엘 혹은 중동의 조직들로 보입니다. 공격이 계속해서 성공을 거둔다면, 공격 범위를 넓힐 수도 있기 때문에 다른 지역의 조직들도 이들을 주시해야 할 수 있습니다. 게다가 사이버 공격자들 중 모방 범죄를 일삼는 이들도 많죠.”

아그리오스가 데이터를 삭제하기 위해 사용하는 와이퍼 멀웨어는 크게 두 가지다. 하나는 데드우드(Deadwood)라고 하는데, 뎃보싯(Detbosit)이라고 불리기도 한다. APT33이나 APT34와 같은 이란 공격자들이 과거 사용한 적이 있는 멀웨어다. 두 번째는 아포슬(Apostle)이라고 하는데, 과거 어떤 공격 단체들도 사용하지 않은 것이라고 한다. 이 아포슬에 랜섬웨어 기능이 포함되어 있다.

센티넬원은 아그리오스가 이란 정부와 관련이 있을 것이라고 추정하고 있다. 랜섬웨어 범죄자들의 소행인 것처럼 꾸미고 있지만 사실은 외교적으로 적대적인 관계에 있는 나라들에 피해를 주는 이란 정권의 전략이라는 것이다. 최근 보안 업체 플래시포인트(Flashpoint)도 랜섬웨어를 가장한 정치공학적 사이버 공격이 나타나고 있다고 경고한 바 있다.

게레로사드는 “아직 아그리오스를 추적한 지 얼마 되지 않기 때문에 어떤 사안이든 확실하게 말하기는 힘들다”고 덧붙이기도 했다. “그러나 현재 이스라엘과 이란의 관계, 이스라엘과 팔레스타인의 관계를 생각했을 때, 지금이 이스라엘 공격의 적기라는 것과, 아그리오스의 활동이 지금 활발해졌다는 것이 우연이라고 보기는 힘듭니다. 사이버 공격은 반드시 현실의 상황과 관련이 있습니다.”

3줄 요약
1. 이란 정부의 APT 단체라고 보이는 아그리오스, 삭제형 공격 실시 중.
2. 데이터를 삭제하기 전에 한 차례 정찰을 하고, 랜섬웨어 공격인 것처럼 위장.
3. 현재 이스라엘의 기업과 기관들 사이에서 피해자가 나오고 있는 상황.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>