보안

맨디언트, 우크라이나 겨냥한 사이버 공격 보고서 발표…“러시아 사이버 스파이 그룹 ‘털라’의 소행 추정” 

편집부 | ITWorld 2023.01.09
맨디언트가 최근 러시아 사이버 스파이 그룹 ‘털라(Turla)’의 소행으로 추정되는 우크라이나를 겨냥한 새로운 공격을 발견하고 관련 보고서를 발표했다. 맨디언트가 러시아의 우크라이나 침공 이후 우크라이나 국가기관을 타깃한 공격의 배후로 털라를 의심한 것은 이번이 처음이다. 

이번 공격으로 새롭게 확인된 점은 현재 맨디언트가 UNC4210으로 추적하는 털라가 2010년경 금전적 목적의 공격 그룹이 안드로메다(ANDROMEDA) 멀웨어를 배포하기 위해 사용했던 만료된 명령 및 제어(Command & Control; 이하 C2) 도메인을 다시 등록했다는 것이다. 

맨디언트는 털라가 오래된 멀웨어와 인프라를 사용해 다양한 경보를 분류해야 하는 방어 조직에게 간과될 가능성이 높다고 예상했다. 2022년 1월 C2를 등록한 후, 털라는 코피루왁(KOPILUWAK) 정찰 유틸리티를 선택적으로 퍼뜨릴 피해 조직 프로파일링을 시작했고, 그 후 2022년 9월에 콰이어트카나리(QUIETCANARY) 백도어를 배포했다. 
 

맨디언트의 조사에 따르면, 안드로메다 도메인이 피해자의 기본 시스템 정보와 IP 주소를 보고해 UNC4210이 피해자에게 털라 페이로드를 전송할지 말지를 결정할 수 있었다. 스파이 활동의 일환으로 털라는 MS 오피스 문서, PDF, 텍스트 파일, LNK 파일을 수집하고 있었다.

맨디언트 위협 인텔리전스 총괄 존 헐트퀴스트는 “이동식 미디어는 사이버 범죄자와 국가 공격자 모두에게 무차별적이지만 강력한 툴로 남아 있다”며, “러시아 연방보안국(FSB)과 관련된 털라는 10년 전, 이동식 미디어를 사용해 DoD 시스템 전반에 멀웨어 ‘에이전트.BTZ(Agent.BTZ)’를 크게 대량으로 확산시킨 광범위한 공격으로 유명세를 치렀고, 에이전트.BTZ의 확산은 분명히 서비스의 의도를 벗어난 것이었고 러시아 연방보안국 운영 부서의 전례 없는 대응과 노출로 이어졌다”고 말했다. 

이 사건은 이미 익숙하지만 새로운 전환점은 공격자들이 그들의 USB 멀웨어를 외부로 공개하지 않고 있다는 것이다. 이제 그들은 다른 공격자의 C2를 넘겨받음으로써 그들의 소스를 이용하고 있다. 이를 통해 털라는 확산 시 세간의 이목을 끄는 귀찮은 일을 피하면서도 동시에 여전히 자신들이 관심 가는 피해자를 선택할 수 있다. 사이버 범죄자들이 획득한 액세스는 목적을 위해 이를 사거나 훔칠 수 있는 러시아 정보기관들이 점점 더 많이 활용하는 툴이라고 업체 측은 설명했다. 
editor@itworld.co.kr
 Tags 맨디언트

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.