ESET(이셋)의 국내 법인 이셋코리아는 이전에 문서화되지 않은 백도어 및 사이버 스파이 활동에 사용된 문서 도용을 발견했다고 밝혔다.

ESET 측은 개발자가 Crutch라고 명명한 이 프로그램을 악명 높은 Turla APT 그룹에서 기인했다고 밝혔다. 이 맬웨어는 2015년부터 2020년 초까지 사용됐다.

ESET은 유럽 연합의 한 국가 외무부 네트워크에서 Crutch를 발견했으며, 이 맬웨어 계열은 매우 구체적인 대상에 대해서만 사용된다는 것을 시사했다. 이러한 도구는 Turla 운영자가 관리하는 Dropbox 계정으로 민감한 문서 및 기타 파일을 전송하도록 설계됐다.

Turla APT 그룹을 조사하는 ESET 연구원 Matthieu Faou는 “주요 악성 활동은 문서 및 기타 민감한 파일의 유출이다. 공격의 정교함과 기술적 세부 사항은 Turla 그룹이 이처럼 크고 다양한 무기들을 운영할 상당한 자원을 가지고 있다는 인식을 더욱 강화시킨다”라며 “또한 Crutch는 정상적인 네트워크 트래픽과 혼합하기 위해 합법적인 인프라(여기서는 Dropbox)를 악용하여 일부 보안 계층을 우회하는 동시에 도난당한 문서를 유출하고 운영자로부터 명령을 받을 수 있다”라고 말했다.

운영자의 작업 시간을 대략적으로 파악하기 위해 ESET은 ZIP 파일을 업로드한 시간을 그들이 운영하는 Dropbox 계정으로 내보냈다. 이를 위해 연구원들은 2018년 10월부터 2019년 7월까지 506개의 서로 다른 타임 스탬프를 수집했는데, 이는 피해자들의 머신이 작동 중일 때가 아니라 운영자가 작업 중일 때를 보여주어야 하기 때문이다. 운영자는 UTC +3 표준 시간대에서 작업할 가능성이 높다.

ESET 연구소는 2016년의 Crutch 드로퍼와 Gazer 간의 강력한 연관성을 확인할 수 있었다. WhiteBear라고도 알려진 후자는 2016-2017 년에 Turla에서 사용한 2단계 백도어이다. Turla는 10년 이상 활발하게 활동해 온 사이버 스파이그룹으로 지난 몇 년간 ESET이 문서화한 대규모 맬웨어 무기를 운영하며 전 세계의 많은 정부, 특히 외교 기관에 피해를 입혔다.

한편 Turla Crutch가 민감한 정보를 어떻게 공격하고 수집하는 지에 대한 자세한 기술 정보는 WeLiveSecurity의 블로그 게시물 “Turla Crutch: Keeping the ‘back door’ open”를 참조하면 된다.

★정보보안 대표 미디어 데일리시큐!★