2024-03-29 08:30 (금)
러시아 배후 Sofacy APT 그룹, 유럽 정부 기관 타깃 공격 수행
상태바
러시아 배후 Sofacy APT 그룹, 유럽 정부 기관 타깃 공격 수행
  • hsk 기자
  • 승인 2018.03.19 20:13
이 기사를 공유합니다

aaaa-3.jpg
지난주 미국 정부는 러시아의 정보기관 FSB와 군사정보기관 GRU를 포함해 5새의 러시아 단체와 19명 개인에 대한 제대 조치를 발표했다. 그러나 러시아 해커들은 이러한 제재 조치에도 불구하고 미국 기관을 포함해 전세계를 타깃으로 공격을 감행하고 있다. 러시아 스파이 기관 및 스파이들이 2016년 대통령 선거에 많은 영향을 미쳤고, NotPetya 랜섬웨어 캠페인 등 에너지 산업에 대한 공격을 수행해 많은 비난을 받고 있다.

지난해 미 국토 안보부와 FBI는 러시아의 위협 행위자들을 대상으로 주요 인프라를 타깃으로 하는 공격에 대해 경고하는 공동 기술 경보를 발령했다. US-CERT는 드레곤플라이(Dragonfly), Crouching Yeti 및 Energetic Bear로 추정되는 APT 그룹들을 비난했다. 이제 US-CERT는 위 APT 그룹들을 크렘린에 공식적으로 연결짓고 추가 정보를 제공하여 경고를 업데이트했다.

TA18-074A로 분류된 이 경고는 ‘러시아 정부의 에너지 및 다른 주요 인프라 분야를 타깃으로 하는 사이버 활동’에 대한 것이며, 에너지, 원자력, 상업시설, 수자원, 항공 및 주요 제조 분야의 기관들과 미국 정부 기관을 대상으로 한 러시아 정부에 대한 조치 내용을 포함한다. 또한 러시아 정부 사이버 공격자들이 사용자들의 네트워크를 공격하는데 사용한 기술, 절차 등 세부 내용도 포함되어 있다.

미 국토 안보부에 따르면 여전히 드레곤플라이(Dragonfly) 활동 및 공격이 활발하게 이루어지고 있다고 한다. “국토안보부와 FBI는 해당 활동을 러시아 정부 사이버 공격자들의 에너지 부문 네트워크에 대해 스피어 피싱을 수행하고 원격 접근을 얻는 다단계 캠페인으로 규정하고 있다. 접근 권한을 얻은 후 러시아 정부 사이버 공격자들은 네트워크 정찰을 실시하고, 이어서 산업 제어 시스템에 대한 정보를 수집했다”고 덧붙였다.

러시아는 미국의 이와 같은 비난을 항상 부인해왔다. 2017년 6월 푸틴 러시아 대통령은 애국적인 해커들이 해외 국가에 대한 공격을 강화했고, 러시아 사이버 스파이들의 참여를 거부했다고 선언했다.

며칠전 팔로알토네트웍스 사이버 보안 전문가가 Sofacy 그룹에 의해 수행된 해킹 캠페인을 발견했다. 해당 캠페인은 업데이트한 DealersChoice 툴을 사용했고 알려지지 않은 유럽 정부 기관을 타깃으로 했다. 팔로알토네트웍스는 “업데이트된 DealersChoice 문서는 C2 서버로부터 악의적인 플래시 객체를 얻기 위해 단순한 프로세스를 사용했지만, 플래시 객체의 내부 메커니즘은 분석한 원본 샘플과 비교할때 상당한 차이가 있다”고 언급했다.

팔로알토가 분석한 유럽 정부 기관을 겨냥한 공격은 이달 말 영국에서 열리는 Un-derwater Defense & Security 컨퍼런스를 언급하는 스피어 피싱 메일을 사용했다. 이전 버전의 DealersChoice가 미끼 문서를 열자마자 악의적인 플래시 객체를 로드했다면, 이번 샘플들은 문서의 3페이지에 플래시 객체가 포함되어 사용자가 스크롤을 내리면 로드되도록 했다.

팔로알토는 분석을 통해 해당 악성코드가 워드에서 아주 작은 검은색 상자로 표시되어 삽입되어 있기 때문에 사용자가 인지를 못할 수 있고, 문서보다 먼저 작용이 필요하기 때문에 흥미로운 안티-샌드박스 기술이라고 할 수 있다고 언급했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★