러시아 해커그룹 APT29, 이번엔 외교관이 ‘타깃’

[애플경제 김향자 기자]사이버 보안업체 맨디안의 위협 분석가들은 최근 외교관과 정부 기관을 겨냥한 러시아 해커 집단인 APT29의 새로운 사이버 공격을 다시 한 번 적발했다고 밝혔다. 3일 테크크런치 보도에 따르면 맨디언트는 “APT29는 러시아 대외정보국(SVR)이 후원하는 것으로 널리 알려진 사이버 스파이 단체”라며 “APT29는 마이크로소프트(MS)가 공개적으로 ‘노벨리움’으로 지칭하기도 한다”고 전했다.

APT29는 2021년 솔라윈즈 서플라이 체인(supply-chain) 공격의 주범으로 지목된 그룹이기도 하다. 특히 맨디안은 “2020년 초부터는 전 세계 외교관을 겨냥한 APT29 피싱 활동을 추적하고 있다”면서 “그런 가운데 올해 이들 사이버 공격자들은 비트드롭, 비콘, 붐믹 등 두 개의 새로운 악성코드 패밀리를 이용해 공격을 감행하고 있다”고 밝혔다.

이를 위해 APT29는 악성코드로 AES 암호화 셸코드 페이로드를 검색하고, 명령과 제어(C2)를 위해 아틀라스의 강력한 트렐로 프로젝트 관리 도구를 악용하고 있다. 또 다른 사이버 보안 교육 회사인 ‘KnowBe4’의 보안 인식 책임자인 에릭 크론은 “정치와 관련된 인사들은 그들이 가지고 있는 정보나, 심지어 그들이 가지고 있는 연락처 때문에 표적이 될 수 있다는 것을 명심하는 것이 중요하다”고 주의를 당부하는 한편, “외국에서 자국이 주권을 대표하는 대사관과 그 안에 있는 외교관들과, 그 내부에서 일어나는 활동에 대한 정보는 사이버 적들에게 ‘노다지’나 다름없다”고 경고했다.

앞서 맨디안은 자사의 블로그 포스트에서 이번 공격에 대해 “APT29는 피해자들을 속여 악성코드로 가득 찬 파일을 다운로드하도록 하기 위해 대사관 관리 업데이트를 가장한 스피어 피싱 이메일을 보내는 수법을 쓰고 있다”고 밝혔다. 또 스팸 필터를 통과하기 위해 APT29는 다른 외교 기관의 합법적인 전자 메일 주소를 사용하고 공개적으로 사용 가능한 대규모 대사관 직원 목록을 대상으로 한 것으로 알려졌다.

이때 사용한 이메일은 악성 HTML 드롭퍼 ‘ROUSAW’(엔비스카웃(EnvyScout))를 사용하여 IMG 또는 ISO 파일을 전송 및 디코딩했다. 또 IMG 또는 ISO 파일 둘 중 하나는 디스크에 기록되고 악의적인 파일을 실행할 수 있다. 이는 ‘비트드롭(BEATDROP)’ 다운로드기가 포함된 DLL 파일이다. APT29도 비슷한 목적으로 문제의 다운로드기를 사용하고 있다.

일단 비트드롭 또는 비콘이 타깃이 되는 대상의 네트워크에 접근, 백도어를 열면 그들은 신속하게 붐믹(BOOMMIC)을 배치하여 타깃의 환경에 더 깊이 접근할 수 있도록 한다. 여기서 ‘붐믹’은 C2 서버에 HTTP를 사용하여 통신하는 셸 코드 다운로드 장치다. 일단 활성화되면 대상 컴퓨터의 메모리에 셸코드 페이로드를 다운로드하여 심는 수법을 쓴다. 이때 비트드롭은 키 입력과 스크린샷을 캡처하고 프록시 서버 역할을 할 수 있는 다목적 도구다. 또한 시스템 자격 증명을 수집하고, 포트 검색을 수행하며, 네트워크의 시스템을 열거할 수도 있다.

일단 이들이 네트워크 내에 들어가면 공격자가 권한을 에스컬레이션하고, 티켓 전달 공격에서 쿠버네티스 티켓을 사용하여 몇 시간 내에 가로 방향으로 이동할 수 있다. 그런 다음 잘못 구성된 인증서 템플릿을 이용하여 관리자를 가장하고, 악의적인 인증서를 만들어 낮은 수준의 권한에서 도메인 관리자 상태로 직접 에스컬레이션할 수 있는 것이다. 이때 문제의 악의적인 인증서는 공격자에게 공격 대상자의 환경을 장기간 제어하고 장악할 수 있게 한다. APT29는 바로 그런 기능을 통해 호스트와 ‘Active Directory’ 환경에 대한 광범위한 검색을 수행하며 자격 증명을 찾는 수법을 구사한다.

이에 보안 업체 ‘Cerberus Sentinel’의 솔루션 아키텍처 담당 부사장인 크리스 클레멘츠는 “이번 사건은 단순한 예방적 통제에 의존하는 것을 넘어 근본적으로 사이버 보안 문화의 패러다임 전환이 중요함을 일깨운다”고 말했다. 그는 “네트워크 세분화, 사전 예방적 시스템, 애플리케이션 강화, 사용자의 작업 기능에 필수적인 요소에 대한 것들만 엑세스하는 습관 등이 공격자의 작업을 훨씬 더 어렵게 만든다”면서 “평소 의심스러운 네트워크 작동이나 위협의 징조에 대한 심층적인 모니터링도 사전에 공격자를 신속하게 탐지하고 제거할 수 있는 가능성을 높인다”고 권했다.