2020-07-12 12:10 (일)
해킹팀 유출 취약점 이용, 더욱 활발해진 'Darkhotel' APT 공격
상태바
해킹팀 유출 취약점 이용, 더욱 활발해진 'Darkhotel' APT 공격
  • 길민권
  • 승인 2015.08.11 10:49
이 기사를 공유합니다

플래시 플레이어와 윈도우 운영 체제 취약점 겨냥한 익스플로잇 공격 활용
몇몇 정부와 사법 당국에 '합법적 스파이웨어'를 판매한 것으로 알려진 해킹팀(Hacking Team)에서 보유하던 자료의 유출 사고 이후, 수많은 사이버스파이 단체가 유출된 툴을 역으로 활용해 공격을 감행하기 시작했다.
 
그 중 가장 대표적인 공격으로는 Adobe Flash Player와 Windows 운영 체제 취약점을 겨냥한 익스플로잇 공격을 들 수 있으며, 악명 높은 사이버스파이 단체 'Darkhotel'에서 이러한 취약점을 악용하고 있는 것으로 밝혀졌다.
 
카스퍼스키랩(Kaspersky Lab)은 7월 5일 Hacking Team의 자료가 유출된 직후부터 'Darkhotel'이 Hacking Team 자료의 제로데이 취약점을 이용해 왔음을 밝혀냈다. 이미 Darkhotel은 2014년에 Kaspersky Lab의 전문가들이 찾아낸 최정예 스파이 단체로, 고급 호텔의 Wi-Fi 네트워크에 침투해 특정 기업 임원들에게 접근한 것으로 유명하다. Darkhotel이 Hacking Team의 고객이었는지의 여부는 알려지지 않았으며, Hacking Team의 자료가 공개적으로 드러나자 이를 이용한 것으로 추측된다.
 
Darkhotel이 제로데이 공격을 감행한 것은 이번이 처음이 아니다. Kaspersky Lab에서는 Darkhotel이 지난 수년에 걸쳐 6건 이상의 Adobe Flash Player를 대상으로 한 제로데이 공격을 한 것으로 추정하고 있다.
 
이번 2015년에는 Darkhotel 단체가 대한민국, 북한, 러시아, 일본, 방글라데시, 태국, 인도, 모잠비크, 독일을 대상으로 스피어피싱 공격을 지속적으로 감행하고 있으며 그 지역 범위를 점점 넓혀가고 있었다.
 
Kaspersky Lab에서는 약 8년 동안 활동해 온 APT(지능형 지속 공격) 스파이 단체인 Darkhotel의 새로운 활동과 기술을 공개했다. 2014년까지 Darkhotel은 탈취한 코드 사인 인증서를 도용하고 보기 드물게 호텔 Wi-Fi에 침투해 공격 대상(기업 임원 등)의 컴퓨터에 스파이 툴을 설치하는 방법을 사용해왔다. 2015년에도 이러한 기법과 활동은 여전히 많이 사용되고 있지만 이번 Kaspersky Lab의 조사 결과, 다양한 신종 악성 코드, 지속적인 인증서 도용, 끈질긴 사회 공학적 기법, 그리고 Hacking Team이 사용한 제로데이 취약점 활용과 같은 공격 방식이 추가로 들어났다.
 
◇지속적인 인증서 도용=Darkhotel은 탈취한 인증서를 비축하는 것으로 보이며, 탈취한 인증서로 서명된 다운로더와 백도어를 배포하여 안전한 파일로 가장한 후 공격 대상자를 속이고 침투한다. 최근에 폐기된 인증서 중에 Xuchang Hongguang Technology Co. Ltd.의 것도 포함되어 있는데 이전 공격을 수행할 때 Darkhotel이 이용한 것으로 밝혀졌다.
 
◇끈질긴 스피어피싱=Darkhotel APT는 집요합니다. 만약 공격 대상에 대한 피싱 공격이 실패했더라도 수 개월 후에 다시 사회공학적 피싱 공격을 시도한다.
 
◇Hacking Team의 제로데이 취약점 배포=공격을 받은 웹 사이트 중 하나인 tisone360.com는 수많은 백도어와 취약점에 노출되어 있다. 가장 관심을 끄는 것은 Hacking Team의 Flash 제로데이 취약점이다.
 
Kaspersky Lab은 “Darkhotel은 취약한 웹사이트에서 호스팅되는 새로운 Adobe Flash Player 취약점을 이용해 다시 나타났다. 이번에는 Hacking Team에서 유출된 취약점을 활용한 것으로 보인다. Darkhotel은 이미 동일한 웹사이트에 여러 가지 Flash 익스플로잇 공격을 자행한 경력이 있으며 이에 대해 Kaspersky Lab에서 2014년 1월 ‘Adobe에 대한 제로데이 공격'으로 발표한 바 있다. Darkhotel은 지난 몇 년 간 비축된 Flash 제로데이 및 하프데이 취약점을 사용하고 있는 것으로 보이며, 세계 각국의 고위 인사들을 대상으로 정교한 공격을 감행하기 위해 더 많은 취약점들을 보유했을 수 있다. 이전의 공격에서 Darkhotel은 CEO, 상무, 영업 및 마케팅 부장, R&D 수석 연구원들을 대상으로 삼았다”고 말했다.
 
지난해부터 Darkhotel 단체는 탐지 방지 기술 보완 등, 방어 기술 강화에 힘을 쏟았다.  2015년 버전의 Darkhotel 다운로더는 전세계 27개 회사의 안티 바이러스 기술을 식별하고 우회하도록 설계되었다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com