Offcanvas

CSO / 랜섬웨어 / 보안 / 악성코드

피싱에도 ‘부캐’ 등판?··· 이란 해킹그룹의 새 공격 캠페인 발견돼

2022.09.16 Lucian Constantin  |  CSO
이란이 후원하는 해킹그룹이 새로운 스피어 피싱 전략을 구사하기 시작했다. 여러 가짜 페르소나를 사용하여 이메일을 주고받아 더욱더 신뢰하도록 하는 방식이다. 

프루프포인트(Proofpoint)는 해당 그룹이 TA453이라고 추정했으나, 이란의 다른 해킹그룹 챠밍 키튼(Charming Kitten), 포스포러스(Phosphorus), APT42의 짓이라는 분석도 있었다. 이를테면 맨디언트(Mendiant)는 최근 APT42가 이슬람혁명수비대(IRGC)의 정보기구(IRGC-IO)를 대신하고 있으며, 고도로 표적화된 사회공학을 하고 있는 것 같다고 밝혔다. 

프루프포인트 연구진은 최신 보고서에서 “2022년 중반부터 시작해 TA453이 표적형 사회공학을 새로운 차원으로 끌어올렸다. 한 사람이 통제하는 한 페르소나가 아니라, 여러 페르소나가 있다. 이 기법을 통해 TA453은 사회적 증거(편집자 주: 다른 사람들의 행동과 의견으로 행동 및 의사결정의 기준을 삼는다는 뜻)의 심리학적 원리를 활용하여 타깃을 속일 수 있고, 아울러 위협 행위자의 스피어 피싱 신뢰성을 높일 수 있다”라고 설명했다. 
 
ⓒGetty Images Bank

‘멀티-페르소나’ 사칭의 작동 방식
프루프포인트에서 분석한 최근 이메일 공격은 TA453의 위협 행위자가 타깃과 관련된 주제로 신중하게 제작된 이메일을 (타깃에게) 보내는 것으로 시작됐다. 이러한 이메일은 일반적으로 타깃과 같은 분야에서 일하는 다른 학자나 연구원을 사칭했다. 

예를 들면 중동 지역 전문가를 타깃으로 한 이메일에서 공격자는 FPRI(Foreign Policy Research Institute)의 연구 책임자 아론 스타인을 사칭하여 이스라엘, 걸프 국가, 아브라함 협정에 관한 대화를 시작했다. 또 공격자는 이메일에 퓨 리서치 센터(Pew Research Center)의 글로벌 태세 연구 책임자 리처드 위크도 참조에 넣어 소개했다. 

여기서 이메일에 위조된 ID는 모두 실제로 해당 기관에서 일하는 실제 사람이다. 게다가 아론 스타인을 사칭한 페르소나의 첫 이메일이 온 다음 날, CC에 포함돼 있는 (가짜) 리처드 워크가 “당신의 의견도 궁금합니다”라고 답장을 보내면서 이메일 스레드를 형성한다(두 기관의 로고가 포함된 서명도 있었다). 

또 다른 사례에서 공격자는 게놈 연구진을 타깃으로 장기 재생 연구로 유명한 하버드 의대 외과 교수 해럴드 오트를 사칭해 스푸핑 이메일을 보냈다. 해당 이메일에는 (이전 사례와 달리) 1명이 아니라, 채텀 하우스의 글로벌 건강센터 책임자 클레어 페리와 네이처 바이오테크놀로지 편집장 앤드류 마셜이라는 무려 2명의 페르소나가 CC에 포함돼 있었다. 피해자가 이메일에 회신했을 때 공격자는 앤드류 마셜 페르소나를 사용하여 악성코드를 담은 마이크로소프트 원드라이브 문서 링크를 보냈다. 

‘캐롤 도허티 페르소나’를 사용해 같은 대학에서 근무하는 핵무기 통제 연구원 2명을 타깃으로 삼은 사례도 있었다. ‘진짜 도허티’는 퓨 리서치 센터의 정치 연구 책임자다. 해당 메시지에서는 앞서 언급했던 아론 스타인부터 노스웨스턴 대학교의 정치학 부교수 다니엘 크르마릭, 브루킹스 연구소의 중동 정책센터 펠로우 샤란 그레왈까지 총 3명이 CC에 있었다. 

타깃 중 한 명이 기사를 검토해달라는 첫 번째 이메일에 답장을 보냈지만 이후 (다음 이메일에서) 일주일 동안 회신을 하지 않자 공격자는 ‘미국과 러시아의 충돌 가능성.docx’라는 제목의, 암호로 보호된 악성 문서 원드라이브 링크를 전송했다. 그로부터 4일 후, 아론 스타인 페르소나를 활용하여 문서와 암호를 다시 보내 더욱더 신뢰할 수 있게끔 만들었다. 

동일한 이메일 스레드에서 여러 페르소나를 스푸핑하는 기법은 새로운 것은 아니지만 일반적인 것도 아니다. 프루프포인트가 TA2520 또는 코스믹 링스(Cosmic Lynx)로 추정되는 해킹그룹의 기업 이메일 침해(BEC) 기법을 분석한 결과에 따르면 BEC는 보통 금전 취득을 목적으로 이뤄지며, 공격자가 손상된 계정을 사용하여 기존 비즈니스 이메일 스레드를 통해 기업의 회계 또는 재무팀 직원이 공격자 계정에 돈을 송금하도록 유도한다. 그리고 대부분의 BEC 공격에서 참조(CC) 등의 원본 이메일 스레드는 피해자를 속이기 위해 그대로 유지된다.  

TA453은 오랫동안 연구원이나 언론인을 사칭한 공격을 해왔으며, 이 멀티-페르소나 사칭 기법을 쓰기 전까지는 한 번에 한 사람만 사칭했다. 

원격 템플릿 주입(Remote template injection)
TA453의 최근 공격에서 배포된 악성 문서(.docx)는 ‘원격 템플릿 주입’이라는 알려진 기술을 사용하여 타깃의 시스템에서 악성코드를 실행한다. (타깃이) 문서를 열면 기존 워드(Word) 기능을 사용하여 원격 호스트에 연결하고, 매크로 스크립팅이 포함된 DOTM 템플릿 파일을 다운로드한다. 그다음 템플릿이 문서에 적용되고 매크로가 실행된다. 

PwC 연구진의 7월 보고서에 의하면 여기서 악성코드는 사용자 이름, 실행 중인 프로세스 목록, 컴퓨터의 공개 IP 등 피해자의 시스템에 관한 정보만 수집한 다음, 텔레그렘 API를 활용하여 해당 정보를 빼내도록 설계된 것으로 보인다. 

프루프포인트 연구진은 “현재 비콘 정보만 관찰했을 뿐 후속 공격은 관찰하지 못했다”라면서, “TA453의 매크로 내에서 코드 실행 또는 명령 및 제어 기능이 부족한 것은 비정상적이다. 컴퓨터에서 식별된 소프트웨어를 기반으로 감염된 사용자가 추가 공격을 받을 수 있다고 판단한다”라고 밝혔다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.