Breaking
사이버 보안(Cybersecurity)
러시아 사이버 스파이 그룹 '투를라', 라이트뉴론 백도어 통해 MS 익스체인지 서버로 침투해
2019-06-26 18:29:55
장희주
▲사이버 스파이 그룹인 투를라가 라이트뉴론의 백도어를 통해 마이크로소프트의 익스체인지 서버에 침투했다(출처=셔터스톡)

[라이헨바흐=장희주 기자] 사이버 보안 연구진에 따르면 새로운 멀웨어 삽입 공격 방식이 발견됐다. 공격자들은 마이크로소프트 익스체인지 이메일 서버에 침투해 스테가노그래픽 PDF 및 JPG 파일에 숨겨진 코드가 첨부된 전자 메일을 보내는 방식으로 멀웨어 공격을 시행했다.

이셋(ESET) 보안 연구원들이 이 사실을 처음으로 발견했다. 이 악성 코드는 비교적 새로운 것이며 사이버 스파이 그룹에 의해 개발된 것으로 보인다.

연구원은 메일 전송 에이전트 역할을 하는 백도어가 유명한 사이버 스파이 그룹인 투를라에 의해 지난 2014년부터 마이크로소프트 익스체인지 전자 메일 서버를 대상으로 사용된 것으로 추측하고 있다. 이 백도어에는 라이트뉴론(LightNeuron)이라는 이름이 붙었다.

 

ESET의 보안 연구원 매튜 파오는 "우리가 알고 있는 한 이것은 마이크로소프트 익스체인지를 대상으로 한 최초의 멀웨어다. 투를라는 과거에 뉴론 혹은 다크뉴론이라는 이름의 멀웨어를 사용해 이메일 서버를 노리고 공격했다. 그러나 당시에 사용된 멀웨어는 마이크로소프트 익스체인지를 특정한 것은 아니었다. 일부 다른 APT는 전통적인 백도어를 사용해 메일 서버의 활동을 모니터링한다. 그러나 라이트뉴론은 마이크로소프트 익스체인지의 작업 흐름에 직접적으로 통합된 최초의 멀웨어다"라고 설명했다.

연구진이 분석할 수 있는 샘플은 없었지만 조사 과정에서 발견된 인도우 버전의 코드에서 정보 추출이 가능했다. 연구진은 리눅스의 변형형이 사용됐다고 분석했다.

라이트뉴론 백도어에 의해 피해를 본 단체는 동유럽 외교부, 중동 지역 외교관 및 브라질 출신의 이름 없는 단체 등이 있다.

동유럽과 중동의 두 기관은 최근 투를라가 실시한 공격으로 피해를 입어서 ESET 연구진이 조사를 실시했고, 브라질에서 일어난 사건의 경우 바이러스토탈 웹사이트에 샘플이 업로드돼 ESET 연구진으로서도 이를 분석할 수 없었다.

▲투를라는 원격 통신 위성에 침투할 수 있는 단체로 알려졌다(출처=셔터스톡)

백도어 공격

라이트누론 백도어는 특히 세계에서 가장 발전된 국가 사이버 간첩 조직 중 하나로 여겨지는 투를라 APT에서 실제로 활용되고 있는 도구다.

이 백도어는 보안 프로그램의 탐지를 피할 수 있는 것으로 보인다. 사이버 보안 연구진들이 이 백도어를 발견하기까지 수년이 걸렸다는 사실이 그 점을 증명한다.

그런데 이 백도어가 다른 것과 구분되는 점은, 공격자가 손상된 마이크로소프트 익스체인지 서버에 직접 연결하는 대신 JPG 또는 PDF 첨부 파일이 포함된 전자 메일을 보낸다는 것이다. 공격자는 스테가노그래피를 마치 지렛대처럼 사용해 첨부된 파일 내에 원격으로 실행되는 명령을 숨겨둔다. 스테가노그래피를 이용한 공격 방식은 사이버 공격자들 사이에서 새로운 것은 아니지만 이 방식은 사용되는 경우가 흔치 않다. 그러나 투를라처럼 강력한 사이버 스파이 조직이라면 이 기술을 사용하는 것도 놀라운 일은 아니다.

라이트뉴론은 전송 에이전트에서 액세스를 활용해 손상된 마이크로소프트 익스체인지 서버를 통과하는 전자 메일이 읽히거나 수정되기 전에, 그리고 새 전자 메일이 만들어지거나 받는 사람에게 전달되기 전에 차단할 수 있다.

또한 룰 파일에는 여러 가지 구성이 있으며 각 명령을 나타내기 위한 고유한 핸들러 이름 집합과 각 피해자에 대한 설정이 담겨 있다.

연구진은 또한 공격자의 활동 빈도가 시간에 따라 달라진다는 사실을 발견했다. 2018년 12월에서 2019년 1월 14일까지는 아무런 활동도 발견되지 않았다. 이에 따라 연구진은 공격자들이 이 시기에 휴가를 보내고 있었다는 사실을 추측할 수 있었다. 이 시기는 동방정교회가 크리스마스 연휴를 보내는 기간이다. 또 공격이 시행된 시간은 러시아의 근무 시간과 일치했다. 이에 따라 연구진은 공격자가 러시아의 해커 집단이라고 확신했다.

 

사이버 정글의 뱀, 투를라

투를라 그룹은 전 세계를 혼란스럽게 만든 사이버 스파이 단체다. 이들은 일반적인 해커나 사이버 공격자들이 접근하기 어려운 전 세계 곳곳에 멀웨어를 배포하고 통신 위성에까지 침투한 바 있다.

또한 할리우드의 유명 스타인 브리트니 스피어스의 인스타그램 계정에 올라온 사진을 이용해 악성 코드를 숨기기도 했다.

인터넷 서비스 제공 업체들도 투를라의 손아귀에서 벗어나지 못했다. 투를라는 어떤 인터넷 서비스 제공 업체의 전체 인프라를 가로채고 연결된 모든 사용자를 멀웨어로 리디렉션한 바 있다. 이것은 불가능한 일은 아니지만 매우 어려운 사이버 공격 방식이다.

[라이헨바흐=장희주 기자]