국 중간선거 직후 러시아가 배후의 사이버 공격그룹과 유사한 공격이 미 국무성 사칭 이메일 피싱 공격을 벌이고 있는 것으로 나타났다. 이들은 지난 2016년 미국 대선 직후 활동한 공격 캠페인과 유사한 점을 따르고 있지만, 일부 노골적인 실수가 드러나기도 해 동일한 조직의 소행이라고 단정하기는 어려운 상황이다.
파이어아이는 러시아 배후의 공격그룹으로 명명한 ‘APT29’ 조직과 이번에 발견된 피싱 메일 공격이 유사한 점이 있다고 밝히며 두 공격 모두 미국 선거 직후에 발생했다는 점에서 연관성을 찾았다. 그러나 파이어아이는 이번에 발견된 공격에서는 노골적인 실수가 드러난 정황이 있어 정교하고 치밀한 공격을 전개하는 APT29와 연관돼있는지 의심된다는 설명도 덧붙였다.
미 국무성 양식 사용한 이메일 피싱
이번에 발견된 APT29 공격 캠페인은 특정 병원의 이메일 서버와 특정 컨설팅 업체의 웹사이트를 해킹해 이들의 인프라를 이용해 피싱 이메일을 전송한 것으로 보인다. 미 국무성 공보 담당자가 보낸 보안 커뮤니케이션인 것처럼 보이도록 조작됐으며, 다른 담당자의 개인용 드라이브처럼 위장된 페이지에서 호스팅이 이뤄졌고, 미 국무성의 공식 양식이 사용됐다. 이러한 정보는 공개적으로 이용할 수 있는 자료를 통해 습득이 가능한 것으로, 미 국무성 네트워크가 이번 피싱 캠페인에 관여되었다는 징후는 없다.
공격 단체는 피싱 이메일마다 고유 링크를 사용했으며, 파이어아이가 파악한 해당 링크는 하나의 압축(ZIP) 파일을 다운로드 하도록 사용됐다. 해당 파일에는 공격용으로 조작된 윈도우용 바로가기 파일이 포함돼 있어 평범한 유인용 문서와 공격 단체가 정상적인 네트워크 트래픽 내에 숨어들 수 있도록 맞춤 구성된 코발트 스트라이크 비컨 백도어를 동시에 호출한다.
해당 피싱 이메일과 네트워크 인프라에 투입된 리소스, 공격용으로 조작된 바로가기 파일 페이로드(payload)의 메타데이터(metadata), 공격 대상이 된 개인 및 기관 등 이번 피싱 캠페인에서 발견된 몇 요소들은 2016년 11월에 마지막으로 관찰된 APT29의 피싱 캠페인과 직접적으로 연결된다.
노골적인 실수 드러난 공격 캠페인
파이어아이는 이번 공격이 APT29의 소행이 아닐 수 있다는 의심도 제기했다. APT29는 상당히 정교한 기술을 사용하는 공격자인데, 이번에 발견된 피싱 메일은 노골적인 실수가 다수 발견됐기 때문이다. 또한 APT29의 소행으로 판가름난 활동이 벌어진 지 1년이 넘어 이처럼 오랜 휴지기 후 이번 피싱 활동이 나타나게 된 시기와 유사성에 대해 의심을 갖게 된다고 밝혔다.
이번 피싱 캠페인과 2016년 피싱 캠페인 간의 유사점이라면 윈도우용 바로가기 메타데이터, 목표 대상이 된 단체 및 특정 개인, 피싱 이메일의 구조, 그리고 해킹한 인프라를 사용한 점이다. 확연한 차이라면 맞춤 구성식 악성 소프트웨어가 아닌 코발트 스트라이크를 사용한 점이지만, 대다수의 해커는 혐의를 부인하기 위해 공개된 상업용 프레임워크를 사용하기도 한다.
이번 피싱 캠페인이 벌어지는 동안, 악성 소프트웨어를 호스팅하는 사이트들이 선별적으로 페이로드를 제공했다는 몇 가지 증거가 발견됐다. 예로 잘못된 HTTP 헤더를 이용한 요청들에 의해 제공된 압축 파일에는 공개적으로 알려져 있는 정상적인 미 국무성 양식만 포함돼 있었던 것으로 보고됐다.
해당 해커 집단이 방문한 링크에 따라 추가적으로 다양한 페이로드를 제공했을 수도 있다. 그러나 파이어아이가 확인한 것은 정상적인 페이로드와 코발트 스트라이크 변형 페이로드, 두 가지 종류 뿐이었다.
보고서에서는 “네트워크 관리자들의 경우, 이번 피싱 활동이 APT29의 소행인지 여부와 관계 없이 침입 시도의 전체 범위를 적절히 조사해야 한다. APT29가 파악하기 어렵고 교묘한 속임수에 능한 탓에 이들이 실제로 침입에 성공할 경우 가히 치명적이기 때문”이라고 조언했다.
