에너지 분야 스카다(SCADA) 시스템을 타깃으로 한 사이버공격 캠페인이 최근 발견됐다. 코로나19 이슈를 악용한 공격이다.

시스코 탈로스에 따르면, 알 수 없는 공격자들이 아제르바이젠 정부와 풍력발전 에너지 분야 스카다 시스템을 타깃으로 코로나19 관련 워드문서파일로 위장한 스피어피싱 공격을 감행해 알려지지 않은 원격 제어 멀웨어 ‘PoetRAT’를 감염시키려는 시도가 있었다고 밝혔다.

워드 문서를 클릭하면 RAT가 설치되고 해커는 스카다 시스템을 원격 제어할 수 있고 이어 또 다른 공격툴들을 드랍시켜 각 시스템 패스워드 등 조직의 주요 정보들을 빼내갈 수 있다. 한편 피싱 공격은 아제르바이젠 웹메일 주소가 사용된 것이 특징이다.

탈로스 측은 “이번 공격 캠페인 조사에서, 공격자들은 다양한 공격툴과 완전한 공격을 위한 방법론을 사용했다는 것을 파악했다. 타깃 공격을 위해 코노라19 이슈를 활용해 비쥬얼 베이직 매크로와 파이썬으로 제작된 워드문서를 제작해 유포한 것이다. 특히 에너지 분야 ICS와 SCADA 시스템 운영자를 타깃으로 했다는 점에서 관련 조직들은 각별한 주의를 기울여야 한다”며 “공격자들은 파이썬과 다양한 툴을 사용해 전통적인 화이트리스트 기반의 방어 시스템들을 회피했다”고 전했다.

★정보보안 대표 미디어 데일리시큐!★