MENU
CISO News HOME > CISO News > 최신뉴스

최신뉴스


이란의 APT 단체 시드웜, 중동 지역에 ‘삭제형 공격’ 진행 중 2020.10.22  

시드웜, 오랜 시간 중동 지역의 각종 단체들 공격해 온 이란의 APT
파우굽이라는 다운로더 통해 횡적으로 움직이고 타노스 랜섬웨어 다운로드 받아


[보안뉴스 문가용 기자] 이란의 사이버 공격 단체인 시드웜(Seedworm)이 중동 지역의 정부 기관과 기업들을 공격하기 위해 여러 가지 새로운 도구들을 활용하기 시작했다고 브로드컴(Broadcom)의 시만텍(Symantec)이 발표했다. 여기에는 시드웜이 자체적으로 개발한 다운로드 유틸리티와 다크웹에서 판매되는 랜섬웨어 등이 포함된다고 한다.

[이미지 = utoimage]


현재 시드웜은 새로운 다운로더를 다양한 변종으로 변화시켜 활용 중인 것으로 보인다. 이 다운로더의 이름은 파우굽(PowGoop)으로, 난독화 처리 되어 있는 파워셸 스크립트를 다운로드 받아 복호화 하는 기능을 가지고 있다. 또한 널리 사용되는 유틸리티를 통해 복호화 된 코드를 실행시킨다. 여기에 더해 타노스(Thanos)라고 하는 랜섬웨어를 2차로 다운로드 시키기도 하는데, 이 타노스는 올해 초 다크웹에서 판매되던 것이기도 하다.

그렇다고 시드웜이 랜섬웨어 공격으로 전체적인 전략을 수정했다고 결론을 내리기는 힘들다. “좀 더 많은 가능성을 열어두고 다양한 전략을 흡수해 실험하는 것으로 보입니다.” 시만텍의 비크람 타쿠르(Vikram Thakur)의 설명이다. “그 동안 시드웜이 해온 것을 봤을 때 표적은 여전히 중동의 여러 조직들인 것은 확실합니다. 특히 돈을 목적으로 한 게 아닌, 정부 기관이 공격 대상입니다. 그렇기 때문에 랜섬웨어는 ‘파괴적 목적’을 위해 활용되는 것일 가능성이 높습니다.”

시만텍은 파우굽이 시드웜의 작품이라고 이번 분석 보고서를 통해 주장하고는 있지만, 대단한 확신을 가지고 있는 건 아니다. “파우굽은 공격자들이 직접 만든 ‘커스텀 멀웨어’인 게 맞습니다. 타노스와의 가장 큰 차이가 바로 이 점이죠. 파우굽은 시드웜이 직접 만들었을 수도 있고, 다른 공격자가 사용하던 도구를 목적에 맞게 고친 것일 수도 있습니다. 아직 확신할 정도로 증거가 모이지 않았습니다. 현재 네트워크에서 파우굽이 발견되었다면 조심스럽지만 즉각적으로 수사를 시작해야 할 것입니다.”

파우굽을 통해 실행되는 파워셸 스크립트는 공격자들이 네트워크 내에서 횡적으로 움직일 수 있도록 해 준다. “사실 진짜는 바로 이 파워셸 스크립트들입니다. 파우굽은 ‘공격자가 직접 만들었다(혹은 조작했다)’는 것 외에는 새로울 것이 없는 멀웨어입니다.”

보안 업체 팔로알토 네트웍스(Palo Alto Networks)도 파우굽을 탐지해낸 바 있다. 시만텍과 마찬가지로 “중동과 북아프리카의 일부 조직을 랜섬웨어로 공격하기 위해 파우굽이 활용됐다”라고 팔로알토 측은 9월 초에 발표한 바 있다. 하지만 팔로알토가 이란 공격자들을 언급하지는 않았었다.

지난 2월에는 또 다른 보안 업체 레코디드 퓨처(Recorded Future)가 타노스 랜섬웨어에 관한 보고서를 발표하기도 했다. 다크웹에서 타노스의 개발자가 광고를 하고 있었고, 따라서 조만간 타노스 공격이 여기저기서 발견될 가능성이 높다는 경고가 담겨 있었다. 심지어 “파괴적인 기능성 때문에 인기가 높아질 수 있는 랜섬웨어”라는 지적도 나왔었다.

일부 APT 단체들은 공격자 추적을 방해하고 사건 대응을 늦추기 위해 파괴적 특성을 가진 ‘삭제형 멀웨어’를 즐겨 사용한다. 최근 VM웨어 카본 블랙(VMware Carbon Black)이 발표한 바에 따르면 “공격자들 사이에서 삭제형 멀웨어가 점점 더 많은 인기를 끌고 있다”고 한다. 전략적인 가치가 높기 때문이다. “사건 대응과 분석, 추적을 방해하기 위해 마스터 부트 기록을 삭제하는 식의 파괴적인 방법이 더 많이 채용되고 있습니다.”

그렇다는 건 시드웜의 공격 목적이 적대 국가의 기관을 마비시키는 것 외에 ‘눈을 다른 곳으로 돌리고 다른 목적을 달성하는 것’일 수도 있다는 뜻이 된다. 그러나 시드웜의 공격 목적은 아직 정확히 밝혀지지 않고 있다.

3줄 요약
1. 이란의 APT 그룹인 시드웜, 중동 지역의 기관들 상대로 공격 펼치는 중.
2. 특히 직접 만든 것으로 보이는 파우굽 다운로더와, 구매한 듯한 타노스 랜섬웨어가 눈에 띔.
3. 타노스 랜섬웨어는 파괴를 목적으로 했을 때 더 적합한 것으로, 올해 초부터 ‘파괴형 공격에 활용될 것’이라는 예측이 나온 바 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>




COPYRIGHT CISOKOREA.ORG. ALL RIGHTS RESERVED.
개인정보처리방침