이셋이 Mikroceen 백도어를 발견했다고 19일 밝혔다.
이셋은 최근 Avast와 협력해 ‘Mikroceen’이라고 명명한 일반적인 백도어 기능을 통해 광범위하고 지속적으로 진화하는 원격 액세스 도구(RAT)를 조사했다.
공동 분석에서 연구원들은 중앙아시아의 정부 및 기업체(통신 및 가스 산업)에 대한 스파이 공격에 Mikroceen이 이용되고 있는 것을 발견했다.
공격자는 영향을 받는 네트워크에 장기적으로 액세스해 파일을 조작하고 스크린샷을 찍을 수 있었다. 피해자의 장치는 명령 및 제어(C&C) 서버에서 원격으로 전송되는 다양한 명령을 실행할 수 있다.
연구원들은 사이버 스파이를 위해 특별히 제작된 Mikroceen의 클라이언트-서버 모델의 맞춤형 구현을 조사했다.
공동 연구팀의 이셋 부문을 이끌고 있는 피터 칼나이(Peter Kalnai)는 “맬웨어 개발자들은 피해자와의 클라이언트-서버 연결을 보호하기 위해 많은 노력을 기울였다. 운영자들이 인지도 높은 회사들의 네트워크에 침투함에 따라 그들의 맬웨어는 일반적인 환경에서도 활용됐다. 우리는 또한 난독화 기법의 변형으로 구성된 더 큰 공격 도구 세트가 사용되고 지속적으로 개발되는 것을 볼 수 있었다”고 전했다.
Mikroceen은 지속적으로 개발되고 있으며 보안 연구원들은 이것이 2017년 말부터 다양한 대상 작업에서 백도어 기능과 함께 사용되는 것을 확인했다. 공격자들이 침입한 네트워크 내에서 이동하기 위해 사용하는 도구들 중에서 이셋과 Avast 연구원들은 2008년경에 만들어진 더 오래되었지만 악명 높은 RAT인 Gh0st RAT를 확인했다.
Gh0st RAT와 Mikroceen 사이에는 많은 유사점이 있으며 인증서와 연결성을 확보하는 프로젝트들간의 주요 전환이 있다.
이셋은 또 ‘램지(Ramsay)’라고 불리는 이전에 보고되지 않은 사이버 스파이 활동을 발견했다고 밝혔다.
이 프레임워크는 인터넷이나 다른 온라인 시스템에 연결되지 않은 에어-갭 시스템에서 민감한 문서를 수집하고 추출하기 위해 만들어졌다. 현재까지 피해자의 수가 매우 적으므로 이셋은 이 프레임워크가 개발 진행 중인 것으로 판단했다.
이셋 몬트리올 연구팀 책임자 알렉시스 도레-존 카스(Alexis Dorais-Joncas)는 “일본에서 업로드한 ‘바이러스토털(VirusTotal)’ 샘플에서 램지의 예를 처음 발견했는데 이 샘플은 더 많은 구성 요소와 프레임워크의 다른 버전을 발견하게 했고 그 프레임워크는 아직 개발 단계에 있으며 전파 매개체는 정밀 테스트 대상이 되고 있다”고 말했다.
이셋 연구 결과에 따르면 램지는 발견된 프레임워크의 서로 다른 인스턴스를 기반으로 여러 반복 작업을 거쳤으며 이는 그 기능의 수와 복잡성에 대한 선형적 진행을 나타낸다.
감염 매개를 담당하는 개발자들은 2017년부터 마이크로소프트 워드 취약성에 대한 이전 공격 방식을 사용하고 잠재적으로 스피어 피싱(spear-phishing)을 통해 트로이목마화된 애플리케이션을 배포하는 등 다양한 접근 방식을 시도하는 것으로 보인다고 이셋은 설명했다.
발견된 램지의 3가지 버전은 복잡성과 정교함에서 차이가 있으며 특히 회피와 지속성 측면에서 최신 세 번째 버전이 가장 진보된 버전이다.
램지의 아키텍처는 파일 수집 및 은밀한 저장(이 프레임워크의 주요 목표는 대상의 파일 시스템 내에서 기존의 모든 마이크로소프트 워드 문서를 수집하는 것이다), 명령 실행(램지의 제어 프로토콜은 제어 문서에서 명령을 찾고 검색하는 분산된 방법을 구현한다), 확산(램지는 에어-갭 네트워크 내에서 작동하도록 설계된 구성 요소를 내장하고 있다) 등의 로깅 메커니즘을 통해 관리되는 일련의 기능을 제공한다.
도레-존 카스는 “특히 주목할만한 점은 램지의 아키텍쳐 디자인, 특히 확산과 제어 기능 간의 관계가 어떻게 인터넷 연결이 없는 네트워크인 에어-갭 네트워크에서 작동할 수 있는지에 대한 것”이고 전했다.[파이낸셜신문=이광재 기자 ]
