Offcanvas

보안

프루프포인트, 링크 및 MAC 맬웨어로 접근하는 APT 조직 ‘TA453’ 연구 발표

2023.07.07 편집부  |  CIO KR
프루프포인트는 이란 정부 배후 APT 조직 ‘TA453(일명 차밍키튼)’에 관한 연구 보고서를 발표했다. 이번 보고서는 TA453가 핵 안보 전문가들을 타깃으로 전개한 새로운 공격 수법을 자세히 다루고 있다.

보고서에 따르면, 2023년 5월 중순경 TA453은 영국 합동군사연구소(Royal United Services Institute, RUSI) 소속 선임연구원으로 신분을 위장해 미국 대외관계 싱크탱크 핵 안보 전문가에게 접촉을 시도한 것으로 드러났다. 

TA453은 ‘글로벌 보안 관점에서 바라본 이란’이라는 프로젝트 관련 피드백을 요청하는 이메일을 발송하며 관련 자료 검토를 요청했다. 이메일에는 피드백 제공에 대한 사례금 지급 및 다른 유명 핵 안보 전문가들의 프로젝트 참여 내용이 담겨있었고, 이메일에 언급된 ‘다른 핵 안보 전문가’는 모두 TA453이 이전 공격에서 사칭했던 인물들로 밝혀졌다.

TA453은 새로 알아낸 파워셸(PowerShell) 기반 백도어(우회 경로)인 GorjolEcho를 포함해 신규 연쇄감염 경로 마련을 위한 다수의 클라우드 호스팅 서버를 공격에 활용했다. TA453은 지속적으로 멀웨어를 변형시키고 애플 위장 연쇄감염을 시도했으며, 다중 사용자 도용(multi-persona impersonation) 방법을 활용해 첩보활동을 펼쳤다.
 

보고서에 따르면, TA453은 연쇄감염 경로를 변형하며 보안 위협 감지를 방해하고 공격 타깃을 대상으로 사이버 첩보 활동을 지속적으로 전개하고 있는 것으로 나타났다. 프루프포인트 사이버 보안 위협 전문가들은 TA453이 구글 스크립트, 드롭박스, 클레버앱스를 활용하고 있는 것으로 보아 보안 위협 사전 감지를 최소화하기 위해 공격 시도 시 클라우드 서비스를 지속적으로 활용할 것으로 전망했다.

TA453이 Mach-O파일에 멀웨어를 배포하려고 하는 것만 보더라도 얼마나 집요하게 공격 대상에 접근하고 있는지를 짐작할 수 있으며, 어떤 감염 방식으로든 모듈 백도어를 이용해 공격 타깃 개인으로부터 정보를 취합하려고 시도할 것으로 보인다. 

TA453이 합법적인 클라우드 서비스를 이용해 수법을 전개하고 있는 추세이므로, 프루프포인트는 네트워크 트래픽에 적용 가능한 Emerging Threats INFO 네트워크 시그니처(INFO network signatures)를 통한 보안 위협 감지·방어를 권고했다. 
 
프루프포인트 조슈아 밀러 수석 연구원은 “TA453이 사이버 공격에 사용하는 여러 자원과 인력을 보면 국가 배후 사이버 위협이 얼마나 집요한지를 알 수 있다”라며, “이들은 각종 보안 제어 경로를 우회해 연쇄감염(infection chains)을 시도하기 때문에 첨단 위협 차단을 위한 유일한 해답은 정보력을 갖춘 강력한 보안 방어 체계라는 점을 확인할 수 있다”라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
Sponsored
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.