사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 이전에 문서화되지 않은 백도어 및 사이버 스파이 활동에 사용된 문서 도용을 발견했다고 밝혔습니다.

 

ESET은 개발자가 Crutch라고 명명한 이 프로그램을 악명 높은 Turla APT 그룹에서 기인했다고 밝혔습니다. 이 맬웨어는 2015년부터 2020년 초까지 사용되었습니다. ESET은 유럽 연합의 한 국가 외무부 네트워크에서 Crutch를 발견했으며 이 맬웨어 계열은 매우 구체적인 대상에 대해서만 사용된다는 것을 시사했습니다. 이러한 도구는 Turla 운영자가 관리하는 ​​Dropbox 계정으로 민감한 문서 및 기타 파일을 전송하도록 설계되었습니다.

 

Turla APT 그룹을 조사하는 ESET 연구원 Matthieu Faou, “주요 악성 활동은 문서 및 기타 민감한 파일의 유출입니다. 공격의 정교함과 기술적 세부 사항은 Turla 그룹이 이처럼 크고 다양한 무기들을 운영할 상당한 자원을 가지고 있다는 인식을 더욱 강화시킵니다.” 라고 말합니다. “또한 Crutch는 정상적인 네트워크 트래픽과 혼합하기 위해 합법적인 인프라(여기서는 Dropbox)를 악용하여 일부 보안 계층을 우회하는 동시에 도난당한 문서를 유출하고 운영자로부터 명령을 받을 수 있습니다.”

 

운영자의 작업 시간을 대략적으로 파악하기 위해 ESET ZIP 파일을 업로드한 시간을 그들이 운영하는 Dropbox 계정으로 내보냈습니다. 이를 위해 연구원들은 2018 10월부터 2019 7월까지 506개의 서로 다른 타임 스탬프를 수집했는데, 이는 피해자들의 머신이 작동 중일 때가 아니라 운영자가 작업 중일 때를 보여주어야 하기 때문입니다. 운영자는 UTC +3 표준 시간대에서 작업할 가능성이 높습니다.

 

Dropbox 영역에 업로드한 항목을 기준으로 한 Crutch 운영자의 근무 시간입니다.

ESET 연구소는 2016년의 Crutch 드로퍼와 Gazer 간의 강력한 연관성을 확인할 수 있었습니다. WhiteBear라고도 알려진 후자는 2016-2017 년에 Turla에서 사용한 2단계 백도어입니다.

 

Turla 10년 이상 활발하게 활동해 온 사이버 스파이그룹입니다. 그들은 지난 몇 년간 ESET이 문서화한 대규모 맬웨어 무기를 운영하며 전 세계의 많은 정부, 특히 외교 기관에 피해를 입혔습니다.

 

Turla Crutch가 민감한 정보를 어떻게 공격하고 수집하는 지에 대한 자세한 기술 정보는 WeLiveSecurity 의 블로그 게시물 Turla Crutch: Keeping the ‘back door’ open를 참조하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우 하십시오.

 

 

 

사업자 정보 표시
ESET KOREA operated by ESTC | 정형래 | 서울시 강남구 논현로 406 요경빌딩 4층 | 사업자 등록번호 : 264-81-44862 | TEL : 070-7839-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

셈틀씨

안전한 기술을 즐기는 ESET KOREA operated by ESTC 공식 블로그입니다.

Tag , ,

댓글을 달아 주세요