Offcanvas

랜섬웨어 / 보안 / 악성코드

해킹그룹 '엘핀', 공격 방식 바꿨다··· "SW 패치·다층 보안 시스템 필요"

2019.04.01 Dan Swinhoe  |  CSO
이란 정부 소속 해커 단체로 알려진 엘핀(Elfin)(일명 APT33)이 소프트웨어 취약성과 스피어 피싱으로 작업 방식을 바꾸고 있는 분석이 나왔다.

© Getty Images Bank

엘핀은 현재 중동 지역에서 가장 활발하게 활동하는 조직이다. 항공과 에너지 업계의 미국, 사우디아라비아 기업을 겨냥한 일련의 공격의 배후로 지목돼 왔다. 시만텍에 따르면, 이들 기업의 데이터 파괴를 공격의 주목적으로 삼던 엘핀이 최근에는 소프트웨어 취약성과 스피어 피싱에 집중하고 있다. 공격 대상은 변함이 없지만 목표는 달라진 것으로 보인다.

엘핀의 최신 공격은 와이퍼(wiper) 대신 일반적인 소프트웨어의 취약성을 활용한 데이터 탈취를 목표로 하고 있다. 시만텍의 보안 대응팀 소속 연구원 딕 오브라이언은 “최근 공격에서 주요 진입점은 수신자의 컴퓨터에 악성코드를 전달할 수 있는 스피어 피싱 이메일이었다. 엘핀은 최근 패치된 WinRAR 취약성 공격을 악용하려 한 적도 있다”라고 말했다.

구체적으로는 공격 대상으로 설정한 기업에 피싱 이메일을 보낸 후 직원이 'JobDetails.rar' 파일을 다운로드 하도록 유도한다. 이 파일은 WinRAR의 취약성 CVE-2018-20250을 악용한다. 패치 안 된 시스템을 제대로 감염시키면 해커가 해당 컴퓨터에 그 어떤 파일도 설치할 수 있다.

엘핀의 정체와 이들이 원하는 것
보안 업체 파이어아이(FireEye)에 따르면, 엘핀/APT33은 대략 2013년에 출현했다. 2016년 후반, 특정 대상을 겨냥한 피싱 공격과 도메인 스푸핑을 이용해 샤문 와이퍼(Shamoon wiper) 악성코드를 살포하면서 유명해졌다. 

엘핀의 배후로 이란이 지목됐다. 사우디와 미국 회사가 공격 대상이 되었다는 점과, 다른 의심쩍은 이란 위협 단체에서 사용하는 해커 도구와 DNS 서버, 예를 들면 샤문, 스톤드릴(StoneDrill), 드롭샷(Dropshot), 턴업(Turnedup)을 활용한다는 점 때문이다. 파이어아이는 APT33의 활동으로 미루어 볼 때 이란의 하절기 시간대와 일치하는 시간대에서 작업 중인 것으로 분석했다.

오브라이언은 “엘핀은 그 전술과 공격 대상으로 보아 국가에서 후원하는 첩보 단체인 것으로 판단된다. 또한, 단체와 그 공격 대상의 속성을 고려했을 때 빼내려고 한 정보는 엘핀을 후원하는 세력에게 전략적 또는 경제적 관심이 있는 내용일 가능성이 높다"라고 말했다. 

이어 “각 기업은 일부가 해킹돼도 다른 방어책으로 그 충격을 완화할 수 있도록 보안에 관한 다층적 접근 방식을 취할 필요가 있다. 이를 위해서는 취약성을 주기적으로 패치하는 것은 물론 특정 기술이나 방어 방식에서 단일점 실패가 있더라도 방어할 수 있는 복수, 중복, 상호 지원적 방어 시스템을 활용해야 한다”라고 말했다.

엘핀은 대체로 미국, 사우디아라비아, 한국에 위치한 항공(국방, 상용) 및 에너지 기업을 집중 공략하고 있다. 미국에 위치한 기업 중 18곳이 지난 3년간 공격을 받았다. 유럽과 중동/북아프리카 지역 국가의 엔지니어링, 화학, 연구 및 보건 기업 역시 공격을 받았다.

전통적으로 엘핀은 취약한 웹사이트를 물색해 공격하거나 통제 및 요구(C&C) 인프라를 만들 잠재적 대상을 파악한다. 엘핀과 연관된 악성코드는 샤문 2.0과 스톤드릴이 유명하다. 둘 다 대체로 데이터 파괴/와이퍼 공격에 사용된다.

샤문에서 벗어난 엘핀
엘핀과 샤문과의 연관성은 오랜 기간 제기돼 왔다. 샤문은 2012년 사우디 아람코에 대한 방해 공작 공격에 최초로 사용됐는데 2016년 이후로는 이란과 연관된 APT에서 주기적으로 쓰이고 있다. 엘핀이 샤문을 만든 것으로 보이지 않지만, 2016년 이래 '샤문 2.0'이라는 수정 버전의 사용이 늘어난 데에는 일정 정도 관련이 있다. 이탈리아 석유 서비스 기업 사이펨(Saipem)(고객 중에 사우디 아람코가 있음)은 2018년 12월 샤문 공격을 받았는데, 시만텍은 그 배후로 엘핀을 지목했다.

엘핀은 보잉, 알살람(Alsalam) 항공기 회사, 노스럽 그러먼(Northrop Grumman), 비넬(Vinnell) 등 공격 대상 업계의 여러 기업과 비슷한 도메인을 등록한 후 채용 관련 메일로 미끼를 던진 바 있다. 오브라이언은 “엘핀과 샤문의 연관성이 처음 제기된 것은 사우디아라비아의 한 기업이 엘핀의 공격을 받아 스톤드릴 악성코드에 감염됐을 때였다. 엘핀 공격과 샤문 공격 사이의 시각이 너무 짧아 두 조직의 연관 가능성이 제기됐다"라고 말했다.
 
WinRAR 취약점 악용한 단체 더 늘어날 듯
WinRAR 취약점을 이용하려는 것은 엘핀만이 아니다. 체크포인트가 CVE-2018-20250 취약점을 처음 발견한 이후 패치가 공개됐지만, 이 소프트웨어에는 자동 업데이트 기능이 없다. 파이어아이에 따르면, 이 때문에 이 취약성을 악용하는 여러 가지 해킹이 진행 중이며 향후에는 더 늘어날 것으로 보인다. 인기가 많은 소프트웨어인 데다, 많은 사람이 여전히 구버전을 사용하기 때문이다.

파이어아이 연구원 딜립 쿠마 잘렐팔리는 블로그 게시물을 통해 "이 취약점은 최신 버전의 WinRAR(5.70)에서 해결됐지만 WinRAR 자체에는 자동 업데이트 기능이 없어 많은 기존 사용자가 계속해서 옛날 버전을 실행할 가능성이 높다. 수많은 WinRAR 사용자와 자동 업데이트 기능 부족, 이 취약성을 악용하기 쉬운 점 때문에 향후 더 많은 해킹에 악용될 것으로 보인다"라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.