널리 알려지지는 않았지만 꽤나 고차원적인 위협인 카주아 백도어가 한층 더 강화된 모습으로 모습을 드러냈다. 배후에는 러시아가 있는 것으로 보이며, 일부 국가 기관들에서 피해가 나타나는 중이다.

[보안뉴스 문정후 기자] 카주아(Kazuar)라는 백도어의 최신 버전이 나타났다. 이전 버전에 비해 탐지 회피 기능이 향상됐기 때문에 찾아내기가 까다로워졌다고 한다. 카주아는 마이크로소프트 닷넷(.NET)을 기반으로 한 프레임워크이며, 여태까지 주로 APT 단체들이 사용해온 것으로 알려져 있다. 2017년에 처음 세상에 공개됐다.


새로운 카주아를 발견한 건 보안 업체 팔로알토네트웍스(Palo Alto Networks)다. 러시아 정부와 관련이 있는 APT 단체인 펜시브우르사(Pensive Ursa)가 이미 우크라이나의 국방 분야를 겨냥해 카주아 새 버전을 사용하고 있다는 사실도 발견했다. 참고로 펜시브우르사는 털라그룹(Turla Group), 스네이크(Snake), 우로부로스(Uroburos), 베노머스베어(Venomous Bear)라는 이름으로도 불리는 그룹으로 최소 2004년부터 활동한 것으로 알려져 있다.

펜시브우르사가 카주아를 활용한 목적은 피해자로부터 각종 민감 정보를 훔쳐내려는 것으로 파악되고 있다. “다단계로 피해자의 시스템에 카주아를 심는 모습이 포착됐습니다. 여러 단계를 거치는 과정 중에 다양한 도구를 동원하기도 했습니다. 예를 들어 1단계 공격에서는 캐피바(Capibar)라는 백도어가 사용됐습니다.” 팔로알토네트웍스의 연구원인 다니엘 프랭크(Daniel Frank)와 톰 파크터난(Tom Fakternan)의 설명이다. “카주아 자체도 이전 버전에 비해 훨씬 향상된 것으로 보입니다.”

카주아
백도어이자 트로이목마에 해당하는 카주아는 2017년에 처음 공개된 이후 2020년에도 한 차례 발견된 적이 있었다. 하지만 그 외에 카주아가 크게 보안 업계의 경계 대상이 되지는 않았다. 카주아가 연루된 보안 사건 자체가 무척 적었기 때문이다. 유럽의 정부 기관이나 군사 기관들이 소수 표적 공격에 당한 것이 전부였다.

카주아는 매우 유연한 고급 멀웨어다. 공격자들은 카주아를 통해 원격에서 각종 플러그인들을 피해자 컴퓨터에 로딩할 수 있고, 그렇게 함으로써 카주아의 기능을 자유롭게 확장시킬 수 있게 된다. 공격자들은 주로 카주아를 통해 각종 정보를 빼돌린다. HTTP, HTTPS, FTP, FTPS 등 여러 프로토콜을 활용하며, 맥과 유닉스 여러 버전과도 호환이 된다.

그런데 2021년 1월 보안 업체 카스퍼스키(Kaspersky)는 카주아에서 선버스트(Sunburst)라는 또 다른 멀웨어와 겹치는 부분이 어느 정도 존재함을 알아냈다. 선버스트는 2020년 12월 보안 업체 파이어아이(FireEye)가 발견했던 것으로, 솔리윈즈(SolarWinds)의 솔루션들을 통한 공급망 공격에 활용됐다. 선버스트도 일종의 백도어이며, 솔라윈즈의 오리온(Orion)이라는 IT 관리 플랫폼을 통해 유포됐었다.

카스퍼스키에 따르면 다음과 같은 특징들이 선버스트와 카주아에서 동시에 발견되고 있다고 한다.
1) 피해자 UID 생성 알고리즘의 활용
2) 슬립 모드 알고리즘의 활용
3) FNV-1a 해시의 적극적인 활용
4) C&C 서버와의 연결 시 일부러 시간을 지연시킴

보안 업체 이셋(ESET)의 수석 멀웨어 분석가인 마티우 파오우(Matthieu Faou) 역시 “선버스트와 이번 카주아 사이에 비슷한 점들이 있다”는 데 동의한다. 이셋은 카주아가 한 남아메리카 국가의 외교부를 공격하는 데 사용된 것을 2021년 12월에 발견한 바 있다. 그 후부터 카주아를 꾸준히 추적해 왔다고 한다. “카주아는 털라가 지난 수년 동안 꾸준히 사용해 온 고급 임플란트입니다. 워드프레스 웹사이트를 침해하여 C&C 서버로서 활용하기도 하지요. 이런 식의 공격 수법은 털라가 보여주는 전형적인 모습이기도 합니다.”

글 : 제프리 슈와츠(Jeffrey Schwartz), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>