이번 공격으로 새롭게 확인된 점은 현재 맨디언트가 UNC4210으로 추적하는 털라가 2010년경 금전적 목적의 공격 그룹이 안드로메다(ANDROMEDA) 멀웨어를 배포하기 위해 사용했던 만료된 명령 및 제어(Command & Control; 이하 C2) 도메인을 다시 등록했다는 것이다.
맨디언트는 털라가 오래된 멀웨어와 인프라를 사용해 다양한 경보를 분류해야 하는 방어 조직에게 간과될 가능성이 높다고 예상했다. 2022년 1월 C2를 등록한 후, 털라는 코피루왁(KOPILUWAK) 정찰 유틸리티를 선택적으로 퍼뜨릴 피해 조직 프로파일링을 시작했고, 그 후 2022년 9월에 콰이어트카나리(QUIETCANARY) 백도어를 배포했다.
맨디언트의 조사에 따르면, 안드로메다 도메인이 피해자의 기본 시스템 정보와 IP 주소를 보고해 UNC4210이 피해자에게 털라 페이로드를 전송할지 말지를 결정할 수 있었다. 스파이 활동의 일환으로 털라는 MS 오피스 문서, PDF, 텍스트 파일, LNK 파일을 수집하고 있었다.
맨디언트 위협 인텔리전스 총괄 존 헐트퀴스트는 “이동식 미디어는 사이버 범죄자와 국가 공격자 모두에게 무차별적이지만 강력한 툴로 남아 있다”며, “러시아 연방보안국(FSB)과 관련된 털라는 10년 전, 이동식 미디어를 사용해 DoD 시스템 전반에 멀웨어 ‘에이전트.BTZ(Agent.BTZ)’를 크게 대량으로 확산시킨 광범위한 공격으로 유명세를 치렀고, 에이전트.BTZ의 확산은 분명히 서비스의 의도를 벗어난 것이었고 러시아 연방보안국 운영 부서의 전례 없는 대응과 노출로 이어졌다”고 말했다.
이 사건은 이미 익숙하지만 새로운 전환점은 공격자들이 그들의 USB 멀웨어를 외부로 공개하지 않고 있다는 것이다. 이제 그들은 다른 공격자의 C2를 넘겨받음으로써 그들의 소스를 이용하고 있다. 이를 통해 털라는 확산 시 세간의 이목을 끄는 귀찮은 일을 피하면서도 동시에 여전히 자신들이 관심 가는 피해자를 선택할 수 있다. 사이버 범죄자들이 획득한 액세스는 목적을 위해 이를 사거나 훔칠 수 있는 러시아 정보기관들이 점점 더 많이 활용하는 툴이라고 업체 측은 설명했다.
editor@itworld.co.kr