뉴욕타임즈를 공격했던 그룹 등 여러 해커 그룹들이 스피어 피싱 공격을 시작하기 위해 다가오는 G20 정상회담을 활용할 것으로 알려졌다.
지난 2주 동안, 다가오는 G20 정상 회담을 이용한 피싱 공격이 최고조에 이른 것으로 나타났다. 최근 이러한 공격에 참여한 그룹 중 하나는 올해 뉴욕타임즈를 공격한 단체로 알려진 캘크팀(Calc Team, APT-12)이다.
래피드7(Rapid7)의 보안 연구원 클라우디오 과르니에리은 이러한 최근 공격들을 조사한 결과, APT-12 이외에 러시아 상트 페테르부르크에서 열릴 G20 정상회담을 활용한 여러 침입 그룹들이 존재한다는 것을 발견했다.
갤크팀은 중국인민해방군(PLA)에 강한 유대관계를 가지고 있다고 여겨지기 때문에 이 그룹의 참여가 주목받고 있다. 이달 초 캘크팀은 뉴욕타임즈를 공격한 후 얼마간 잠잠한 듯 보였다.
파이어아이(FireEye) 연구원들이 처음 발표했듯이 캘크팀의 재기는 새로운 공격 및 업데이트 툴을 나타냈다.
이러한 최근 G20 정상회담을 주제로 한 스피어피싱 공격과 캘크팀간의 연결은 공격 중에 사용된 악성코드뿐만 아니라 과거 *. acmetoy.com으로 알려진 도메인을 사용한 것이었다.
적어도 5개의 변종이 발견된 각 캠페인의 악성코드에는 미국 일리노이주 시카고에서 유비퀴티 서버 솔루션(Ubiquity Server Solutions)이 관리하는 단일 서버에 연결하라는 지침이 포함되어 있다.
과르니에리의 연구 결과에 대한 자세한 내용은
여기에서 확인할 수 있으며 향후 1년 뒤 그는 추가로 G20을 주제로 한 공격에 대한 세부 사항을 공개할 예정이다. ciokr@idg.co.kr