보안

카스퍼스키, 종교적 소수자 겨냥한 맬웨어 캠페인 '샌드스트라이크' 발견

Apurva Venkat | CSO 2022.11.04
사이버보안 업체 카스퍼스키는 샌드스트라이크(SandStrike)라고 불리는 새로운 공격 캠페인이 악성 VPN 앱을 사용해 안드로이드 기기에 스파이웨어를 로드하는 것을 탐지했다고 밝혔다. 이는 APT(Advanced Persistent Threat) 공격자가 오래된 공격 툴을 지속적으로 업데이트하고 새로운 툴을 만들어 모바일 기기를 노리는 악의적인 캠페인을 시작하는 방법을 보여주는 대표적인 사례다. 
 
ⓒ Getty Images Bank

카스퍼스키의 글로벌 리서치 및 분석팀의 책임 보안 연구원 빅터 체비쇼프는 블로그에서 “사이버 공격자들은 정교하고 예상치 못한 방법을 사용한다. 피해자들이 보호 조치와 보안을 위해 다운로드한 VPN 서비스를 통해 사용자를 공격하는 샌드스트라이크가 좋은 예”라고 썼다.


소셜 미디어 계정으로 피해자 유인

샌드스트라이크 캠페인에서 공격자는 피해자를 유인하기 위해 팔로워 수가 1,000명 이상인 페이스북과 인스타그램 계정을 생성한 뒤 이란과 중동, 아시아태평양 일부 지역의 소수 종교인 바하이(Baháʼí) 신도를 목표로 삼았다. 퓨 리서치 센터(Pew Research Center)에 따르면, 해당 지역의 6개국이 2019년 기준으로 바하이를 금지하고 있다. 

체비쇼프는 “오늘날에는 소셜 네트워크를 통해 맬웨어를 쉽게 배포할 수 있으며, 그렇게 배포한 맬웨어는 몇 달 이상 감지되지 않은 상태로 남아 있다. 그렇기 때문에 그 어느 때보다 경계하고 위협 인텔리전스와 기존 위협, 그리고 새로운 위협에서 보호할 수 있는 올바른 도구로 무장하는 것이 중요하다”라고 말했다.  

샌드스트라이트 캠페인이 만든 소셜 미디어 계정은 종교적 주제의 그래픽 자료를 게시해 신앙심이 깊은 바하이교인을 유혹했다. 해당 계정에는 APT로 생성한 텔레그램 채널로 연결되는 링크가 포함돼 있었다. 


종교적 소수자에게 악성 VPN 앱 설치 유도

샌드스트라이크는 텔레그램을 사용해 합법적인 것으로 보이는 VPN 애플리케이션을 배포했다. 특정 국가에서 금지되고 공개적으로 사용할 수 없는 종교 관련 자료에 접근할 때 해당 VPN 앱을 사용할 수 있다고 유도한 것이다. 공격자들은 악의적인 스파이웨어 애플리케이션이 온전하게 작동하도록 VPN 앱을 설정했다.

카스퍼스키는 “VPN 클라이언트에는 위협 행위자가 통화 기록, 연락처 목록을 포함한 민감 데이터를 수집하고 훔치는 기능을 갖춘, 완벽하게 작동하는 스파이웨어가 포함돼 있었다. 공격자는 박해받는 개인의 다른 활동도 추적할 수 있었다”라고 말했다.

카스퍼스키는 샌드스트라이크로 악의적인 활동을 벌인 공격 집단이나 영향을 받은 단체, 혹은 피해자 수를 특정하지 않았다. 하지만 캠페인이 일부 국가에서 금지된 종교 단체를 대상으로 한다는 사실은 지정학이 맬웨어 캠페인에서 점점 일반적인 주제가 되고 있음을 시사한다. 

최근 발행된 APT 동향 보고서에서 카스퍼스키는 “지정학은 APT를 개발하는 주된 요소이며, 이런 APT 캠페인의 주요 목표는 여전히 사이버 스파이 활동이다”라고 말했다.

카스퍼스키는 APT 캠페인이 특히 중동에서 지리적으로 널리 확산하고 있다고 지적했다. 예를 들어, 최근 발견된 프레임드골프(FramedGolf)는 이전에 문서화된 적 없는 IIS(Internet Information Services) 백도어로, 이란에서만 찾을 수 있고 표적 단체에 지속적인 발판을 마련하도록 설계됐다.

카스퍼스키에 따르면, 프레임드골프는 늦어도 2021년 4월부터 최소 12개 조직을 침해하는 데 사용되었고 대부분 조직은 2022년공격이 확대된 것으로 알려졌다. 


모바일 맬웨어 확산 증가

최근에는 샌드스트라이크처럼 모바일 기기를 표적으로 삼는 공격이 늘었다. 카스퍼스키가 올해 2분기에 차단한 맬웨어, 애드웨어, 리스크웨어(riskware) 공격만 해도 약 550만 건에 달한다. 이 중 25%는 악성 애드웨어가 연관돼 있었다. 모바일 뱅킹 트로이 목마, 모바일 랜섬웨어 도구, 맬웨어 다운로더 같은 다른 위협 요소도 계속해서 발견되고 있다.

프루프포인트(Proofpoint)의 연구에 따르면, 올해 1분기 유럽에서는 모바일 맬웨어 전송 시도가 500% 증가한 것으로 나타났다. 이런 증가 추세는 2021년 말 공격이 급격하게 감소한 이후 이어졌다. 

또한 모바일 기기 중에서는 iOS 기기보다 안드로이드 기기가 훨씬 자주 표적이 된다. 프루프포인트는 iOS에서는 서드파티 앱을 비공식 앱 스토어에서 다운로드하거나 안드로이드처럼 기기에 직접 설치하는 것이 허용되지 않기 때문이라고 덧붙였다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.