2019-12-11 18:00 (수)
자체 VPN 네트워크 통해 이란 관련 'APT33' 사이버공격 그룹 추적중
상태바
자체 VPN 네트워크 통해 이란 관련 'APT33' 사이버공격 그룹 추적중
  • hsk 기자
  • 승인 2019.11.15 15:42
이 기사를 공유합니다

APT33 그룹, 석유 및 항공, 국가 안보 관련 서비스 제공하는 미국 회사와 미군
그리고 중동과 한국 등 아시아 여러 조직들 타깃 공격

이란과 연결된 APT 그룹 APT33이 여러 계층의 난독화를 사용해 타깃형 악성코드 공격과 관련된 12개 라이브 C2 서버를 운영하고 있다. 대상 악성 프로그램 캠페인은 중동, 미국 및 아시아 조직을 대상으로 한다.

APT33 그룹은 2016년 중반 이후, 최소 2013년부터 석유 화학 생산과 관련된 항공 산업 및 에너지 회사를 타깃으로 해왔다. 대부분 타깃은 중동, 미국, 한국 및 유럽이고, 이들은 대상 네트워크 내 지속성을 얻기 위해 최대 12대의 감염 컴퓨터로 구성된 작은 봇넷을 사용하고 있다.

이 기본적인 멀웨어는 다운로드 및 실행을 포함한 기능이 제한되어 있다. 2019년에는 국가 보안과 관련된 서비스를 제공하는 미국 기업과 미국 대학들이 감염되었고, 이밖에 중동과 아시아에서도 여러 사용자가 감염되었다.

APT33 그룹은 Recorded Future 전문가들이 지난 7월 이들의 활동 세부 보고서를 발표한 후 인프라를 업데이트 했으며, 최근에는 석유 및 항공 산업, 국가 안보와 관련된 서비스를 제공하는 미국 민간 회사, 미군, 그리고 중동과 아시아 여러 조직들을 타깃으로 하고 있다.

이 그룹의 명령 및 통제 인프라는 보안 업체와 법 집행 기관들의 조사 및 서비스 중단을 어렵게 하기 위해 계층화 및 격리되어 있다. 이는 해당 그룹이 맞춤형 VPN 노드 네트워크를 사용해 VPN 계층 빌드를 활용하고 있음을 보여준다.

이들 그룹은 종종 상용 VPN 서비스를 사용해 C&C 서버를 관리하고 정찰 시 자신의 위치를 숨긴다. 그러나 모든 사용자가 이용할 수 있는 VPN 서비스를 사용하는 것 외에 정기적으로 개인 VPN 네트워크를 사용하는 행위자도 존재한다.

트렌드마이크로는 APT33이 VPN exit(출구) 노드를 독점적으로 사용하는 것으로 보고, 그룹의 몇몇 프라이빗 VPN 출구 노드를 지속적으로 추적 중이다.

프라이빗 VPN 출구 노드는 멀웨어에 명령을 보내고 중동 석유 산업 및 군사 병원 공급망과 관련된 네트워크 정찰에 사용되었다.

트렌드마이크로는 “APT33은 석유 및 가스 산업 직원 모집 웹 사이트에도 관심을 가지고 있다. 관련 회사들은 보안 로그 파일을 위의 IP 주소들과 비교해 주의해야 한다.”고 설명했다.

★정보보안 대표 미디어 데일리시큐!★