ESET (이셋), Turla Crutch가 EU의 한 국가에서 외교부를 공격하고 Dropbox를 사이버 스파이 활동에서 오용하고 있는 것을 발견
ESET NEWS/NEWS 2020. 12. 11. 09:06
사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 이전에 문서화되지 않은 백도어 및 사이버 스파이 활동에 사용된 문서 도용을 발견했다고 밝혔습니다.
ESET은 개발자가 Crutch라고 명명한 이 프로그램을 악명 높은 Turla APT 그룹에서 기인했다고 밝혔습니다. 이 맬웨어는 2015년부터 2020년 초까지 사용되었습니다. ESET은 유럽 연합의 한 국가 외무부 네트워크에서 Crutch를 발견했으며 이 맬웨어 계열은 매우 구체적인 대상에 대해서만 사용된다는 것을 시사했습니다. 이러한 도구는 Turla 운영자가 관리하는 Dropbox 계정으로 민감한 문서 및 기타 파일을 전송하도록 설계되었습니다.
Turla APT 그룹을 조사하는 ESET 연구원 Matthieu Faou는, “주요 악성 활동은 문서 및 기타 민감한 파일의 유출입니다. 공격의 정교함과 기술적 세부 사항은 Turla 그룹이 이처럼 크고 다양한 무기들을 운영할 상당한 자원을 가지고 있다는 인식을 더욱 강화시킵니다.” 라고 말합니다. “또한 Crutch는 정상적인 네트워크 트래픽과 혼합하기 위해 합법적인 인프라(여기서는 Dropbox)를 악용하여 일부 보안 계층을 우회하는 동시에 도난당한 문서를 유출하고 운영자로부터 명령을 받을 수 있습니다.”
운영자의 작업 시간을 대략적으로 파악하기 위해 ESET은 ZIP 파일을 업로드한 시간을 그들이 운영하는 Dropbox 계정으로 내보냈습니다. 이를 위해 연구원들은 2018년 10월부터 2019년 7월까지 506개의 서로 다른 타임 스탬프를 수집했는데, 이는 피해자들의 머신이 작동 중일 때가 아니라 운영자가 작업 중일 때를 보여주어야 하기 때문입니다. 운영자는 UTC +3 표준 시간대에서 작업할 가능성이 높습니다.
ESET 연구소는 2016년의 Crutch 드로퍼와 Gazer 간의 강력한 연관성을 확인할 수 있었습니다. WhiteBear라고도 알려진 후자는 2016-2017 년에 Turla에서 사용한 2단계 백도어입니다.
Turla는 10년 이상 활발하게 활동해 온 사이버 스파이그룹입니다. 그들은 지난 몇 년간 ESET이 문서화한 대규모 맬웨어 무기를 운영하며 전 세계의 많은 정부, 특히 외교 기관에 피해를 입혔습니다.
Turla Crutch가 민감한 정보를 어떻게 공격하고 수집하는 지에 대한 자세한 기술 정보는 WeLiveSecurity 의 블로그 게시물 “Turla Crutch: Keeping the ‘back door’ open”를 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우 하십시오.
'ESET NEWS > NEWS' 카테고리의 다른 글
| ESET(이셋), Operation Spalax 발견: 표적 공격을 받고 있는 콜롬비아 정부 및 산업 부문 (0) | 2021.01.18 |
|---|---|
| ESET (이셋), 2021년에 랜섬웨어 및 파일리스 맬웨어 위협이 증가할 것으로 예측 (0) | 2020.12.11 |
| ESET(이셋), Microsoft 365에 대한 고급 보호를 제공하는 ESET Cloud Office Security 출시 (0) | 2020.11.17 |
| ESET(이셋), 수천 개의 레스토랑, 호텔에서 사용하는 POS 소프트웨어를 표적으로 하는 백도어 ModPipe 발견 (0) | 2020.11.17 |
| ESET(이셋), 베라포트를 활용한 새로운 라자루스(Lazarus) 공급망 공격 발견 (0) | 2020.11.17 |
셈틀씨
Progress.Protected ESET KOREA operated by ESTC 공식 블로그입니다.