2021-03-02 04:10 (화)
ESET, Operation Spalax 발견...표적 공격 받고 있는 콜롬비아 정부 및 산업 부문
상태바
ESET, Operation Spalax 발견...표적 공격 받고 있는 콜롬비아 정부 및 산업 부문
  • 길민권 기자
  • 승인 2021.01.15 17:10
이 기사를 공유합니다

사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아는 콜롬비아 법인을 대상으로 하는 여러 공격을 발견했다고 밝혔다.

이 공격은 Operation Spalax라고 불린다. 이 공격은 계속되고 있으며 정부 기관과 민간 기업, 특히 에너지 및 금속 산업에 집중돼 있다. 공격자는 원격 액세스 트로이 목마 사용에 의존하며 사이버 스파이 활동을 수행할 가능성이 높다.

이들은 악성 파일의 다운로드를 유도하는 이메일을 통해 표적에 접근한다. 대부분의 경우 이러한 이메일에는 사용자가 클릭해야 하는 링크가 포함된 PDF 문서가 첨부되어 있다. 다운로드된 파일은 내부에 실행 파일이 있는 일반 RAR 압축 파일이다.

이러한 압축 파일은 OneDrive 또는 MediaFire와 같은 합법적인 파일 호스팅 서비스에서 호스팅 된다. 피싱 이메일은 필수 COVID-19 테스트를 실시하거나 법원 청문회에 참석, 또는 교통 벌금을 지불하라는 통보가 될 수도 있고, 은행 계좌 동결과 관련된 것일 수 있다.

Operation Spalax에서 사용되는 페이로드는 원격 액세스 트로이 목마이다. 이 기능은 원격 제어뿐만 아니라 표적에 대한 스파이 기능을 제공한다. 여기에는 키 로깅, 화면 캡처, 클립 보드 가로채기, 파일 유출, 기타 맬웨어 다운로드 및 실행 기능 등이 있다.

Spalax를 조사한 ESET 연구원 MatíasPorolli는 “ESET은 2020년 하반기에 적어도 24개 이상의 서로 다른 IP 주소를 발견했다. 이들은 아마도 C&C 서버의 프록시 역할을 하는 손상된 장치일 것이다. 이것은 동적 DNS 서비스의 사용과 결합되어 해당 인프라가 절대 중단되지 않았음을 의미한다. 이 기간 동안 최소 70개의 도메인 이름이 활성화되었으며 정기적으로 새 도메인 이름을 등록한다”라고 말했다.

콜롬비아 기관에 대한 표적 맬웨어 공격은 작년에 다른 연구원들이 설명한 캠페인 이후 확대되었다. 이러한 환경은 소수의 C&C 서버와 도메인 이름이 포함된 캠페인에서 2019년 이후 수백 개의 도메인 이름이 사용된 매우 크고 빠르게 변화하는 인프라를 갖춘 캠페인으로 변모했다.

ESET 측은 2020년에 확인한 공격은 콜롬비아를 대상으로 하는 그룹에 대한 이전 보고서와 일부 TTP를 공유하지만 여러 측면에서 차이가 있어 귀속성이 어려워졌다고 밝혔다.

한편 Operation Spalax에 대한 자세한 기술 정보는 WeLiveSecurity의 블로그 게시물 "Operation Spalax: Targeted malware attacks in Colombia"을 참조하면 된다.

★정보보안 대표 미디어 데일리시큐!★