2014년 11월, 다크호텔(Darkhotel) 사이버스파이 그룹이 카스퍼스키 보안전문가에게 발견되어 모습을 드러냈다. 이들은 주로 기업의 고위층 간부들을 공격 타깃으로 선정하며, 이미 4년이상 활동하고 있었다. 2016년 다시 돌아온 Darkhotel APT그룹의 첫 번째 공격대상은 중국과 북한의 통신사 고위층 간부들이다.
 
이 그룹은 전세계 모든 시스템을 침입할만한 출중한 실력을 갖춘 해커들로 구성되었다. 특히 침입경로 또는 흔적을 지우는데 능수능란하며, 한번 공격했던 대상은 다시 공격하지 않는다. 또한 이들의 공격대상은 주로 CEO, 부사장, 엔지니어, 영업부장, 기획부장 등 고위층 간부들이다.
 
Darkhotel 그룹이 흔히 사용하는 공격수법은 스피어피싱이다. 전송되는 메일에 악의적인 SWF파일이 첨부되어 있으며, 워드 문서에 다운로드 링크가 삽입되었다. 어도비 플래시(adobe Flash) 취약점(CVE-2015-8651)을 자주 이용했지만 관련 취약점 이미 12월 28일에 복구되었다. 공격자는 악성코드를 위장하여 OpenSSL 라이브러리의 컴포넌트에 삽입하며, 악성 소프트웨어에 just-in-time Decryption, 리버싱 샌드박스 필터링 등 리버싱 탐지방법을 사용한다.
 
카스퍼스키랩 실험실에서 Darkhotel그룹에 대한 조사결과 2015년 타깃이 북한, 러시아, 한국, 일본, 방글라데시, 태국, 인도, 독일, 모잠비크로 드러났다. 또한 2010년부터 Darkhotel APT는 HTML어플리케이션(HTA)이 삽입된 파일을 이용하여 피해자 시스템에 백도어 설치 및 다운로드 프로그램 코드를 삽입하였으며, 지난해 8월, 보안전문가들은 악성 HTA파일의 최신 변종을 발견하였다.
 
또한 공격자는 한층 업그레이드된 난독화 기술을 사용한다. 예를 들어 공격자는 인증을 거친 다운로드 프로그램을 사용하여 백신을 탐지한다.
 
Darkhotel APT가 과거에 첨부했던 .rar압축파일은 정상적인 .jpg파일로 보이지만 사실상 실행이 가능한 .scr파일이 부가되어 있다. 다시 말하면 RLO(right-to-left override) 기술을 이용해 파일 오픈시 이미지가 나타나며, 악성코드가 백그라운드에서 실행된다.
 
이밖에 Darkhotel 그룹은 절취한 디지털 인증서를 사용하여 악성 소프트웨어에 대한 인증을 수행하며, 이 그룹의 구성원은 한국인 또는 한국어에 능숙한 해커들로 구성된 것으로 파악된다. (자료제공. 씨엔시큐리티)
 
★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com