어웨이큰리코 해킹그룹, 메시에이전트 활용해 러시아 공격 캠페인 감행
2024년 6월부터 8월 사이, APT 해킹그룹인 ‘어웨이큰리코(Awaken Likho)’가 러시아 정부기관과 산업체를 대상으로 새로운 공격 캠페인을 펼친 사실이 밝혀졌습니다. 이번 공격에서 어웨이큰리코는 기존에 사용하던 UltraVNC 모듈 대신, 합법적인 원격 제어 툴인 메시에이전트(MeshAgent)를 활용해 러시아 정부와 하청업체 시스템에 원격 접근한 것으로 드러났습니다. 카스퍼스키(Kaspersky)는 보고서를 통해 어웨이큰리코가 메시에이전트를 통해 공격을 수행한 세부 방식을 공개했습니다.
공격 방식: 피싱 이메일과 악성 URL
어웨이큰리코는 이번 공격에서 피싱 이메일에 악성 URL을 삽입해 배포함으로써 피해자의 기기에 접근하는 방식으로 캠페인을 전개했습니다. 피싱 이메일 내 링크를 통해 피해자의 기기에 새로운 임플란트가 설치되었으며, 이는 현재까지 발견되지 않은 유형의 임플란트였습니다. 이전의 공격에서는 Go 언어로 개발된 GoLang 드로퍼를 사용해 악성코드를 전파했으나, 이번 캠페인에서는 별도의 드로퍼가 아닌 자가 추출형 아카이브(SFX) 파일을 활용해 임플란트를 설치한 것으로 나타났습니다. 임플란트는 UPX로 압축되었으며, 압축 해제 후에는 AutoIt 스크립트를 통해 마이크로소프트 스토어 실행파일 등으로 위장한 여러 파일이 실행되는 방식으로 악성코드를 배포했습니다.
메시에이전트를 이용한 지속적인 원격 제어
어웨이큰리코는 메시에이전트를 통해 감염된 시스템과 지속적으로 연결을 유지하며 악성 활동을 수행했습니다. 메시에이전트는 원래 IT 관리자가 네트워크 내 다수의 컴퓨터를 원격으로 제어하기 위해 사용하는 합법적인 툴이지만, 어웨이큰리코는 이를 원격 제어 목적의 C&C(명령제어) 서버로 악용했습니다. 해킹그룹은 메시에이전트의 네트워크 드라이버 실행 파일을 통해 스케줄된 작업을 생성하고 악성 활동의 흔적을 주기적으로 지우며, 감염된 시스템의 원격 연결을 지속적으로 유지하는 방식으로 공격을 강화했습니다.
전 세계로 확산된 메시에이전트 서버
위협 헌팅 도구인 크리미널 IP(Criminal IP)를 통해 2024년 10월 23일 기준으로 3,083개의 IP 주소에서 메시에이전트가 설치된 상태로 외부에 노출된 것이 확인되었습니다. 이 중 모든 메시에이전트가 악의적인 용도로 설치된 것은 아니지만, 어웨이큰리코 해킹그룹과 같은 사례를 통해 악용된 사례가 많을 것으로 추정됩니다. 국가별로는 독일이 844건으로 가장 많았고, 그 뒤로 미국(797건), 프랑스(135건) 순으로 메시에이전트 서버가 노출되어 있는 것으로 나타났습니다.
에이아이스페라 보안팀은 “어웨이큰리코 해킹그룹이 메시에이전트를 악용하여 특정 국가나 기관을 표적으로 삼았다”며 “이처럼 원격 관리 소프트웨어가 악용되는 경우가 많기 때문에, 기업과 기관에서는 C&C 서버 IP 주소를 방화벽과 기존 보안 솔루션에 연동해 탐지 및 차단할 필요가 있다”고 조언했습니다. 특히 블랙리스트에 등록되지 않은 새로운 악성 IP 주소를 탐지하고자 할 경우 크리미널 IP의 API 연동을 통해 신선도 높은 탐지 데이터를 활용할 수 있다는 점도 덧붙였습니다.
'IT이야기' 카테고리의 다른 글
FBI는 어떻게 사이버 범죄자를 소탕할 수 있었을까? 디지털 정보 확보의 중요성 (0) | 2024.11.01 |
---|---|
MS-SQL 서버 보안 강화, '해킹진단도구'로 랜섬웨어 침해 예방하기 (0) | 2024.11.01 |
인력 부족과 보안 로그 과부하에 지친 보안전문가들을 위한 해결책, XDR (4) | 2024.10.26 |
4. PHP 함수 만들기: 기본부터 고급 개념까지 (0) | 2024.10.12 |
3. PHP 조건문과 반복문: 흐름 제어 구조 이해하기 (0) | 2024.10.12 |