이란이 배후에 있을 것으로 의심되는 사이버 공격그룹이 엔지니어링 산업을 대상으로 APT 공격을 펼치고 있다는 분석 보고서가 발표됐다. 파이어아이가 APT33이라고 명명하고 추적하고 있는 이 그룹은 미국, 사우디아라비아, 한국 등에 본사를 둔 여러 산업 조직을 표적으로 삼고 있으며, 군사, 상용 항공 부문의 조직과 석유화학 생산 관련 부문에 관심을 보이고 있다.
파이어아이는 최근 APT33 공격그룹을 추적·분석한 보고서를 발표했으며, 이 공격자들은 초기 침입 단계에서는 누구나 사용할 수 있는 공개된 툴을 이용하지만, 초기 침투 후 탐지를 우회하기 위해 맞춤형 공격도구를 사용하고 있는 것으로 분석됐다.
“APT33, 파괴적 공격으로 중요 인프라 위협”
파이어아이가 APT33 활동을 공개한 것은 2017년 9월이며, 에너지·항공우주산업을 대상으로 한 스피어피싱 활동에 대해 상세히 분석했다. 이 보고서에서는 사우디아라비아 국영 석유기업 사우디아람코(Saudi Aramco)의 컴퓨터 3만여대를 파괴하면서 명성을 높인 ‘샤문(Shamoon)’ 공격이 APT33과 연관 있을 것으로 추정했지만, 확실한 증거를 찾지 못했다.
파이어아이의 어드밴스드 프랙티스 팀은 파이어아이 고객에 대한 침입 시도를 파악하면서 발견된 공격의 유사성을 분석해왔다. 이 분석에는 ‘유사성 엔진’이 이용됐으며, 문서 클러스터링과 토픽 모델링 이론의 개념을 활용해 활동 중인 공격자 그룹 간의 유사점을 계산하고, 후속 분석을 위한 조사 단서를 개발한다.
2017년 말 파이어아이의 매니지드 방어 서비스는 엔지니어링 산업을 타깃으로 한 유사 공격 활동을 확인했는데, 이 공격자는 탈취한 크리덴셜과 CVE-2017-11774(RULER.HOMEPAGE)를 활용해, 코드 실행 및 지속을 위해 수많은 사용자의 아웃룩 클라이언트 페이지를 수정했다.
공격자는 공공으로 사용가능한 ‘.NET POSHC2’ 백도어의 OS 종속 변종과 새로 확인된 파워셸(PowerShell) 기반 침투 도구인 ‘파워튼(POWERTON)’을 다운로드하고 실행한다. 파이어아이는 APT33이 적어도 2018년 7월 2일부터 POSHC2를 사용하기 시작하고 2018년 내내 POSHC2를 사용했을 것으로 별도로 추정하고 있다.
파이어아이 보고서는 “APT33이 파괴적인 악성코드와 연계돼 있으며, 중요한 인프라에 더 큰 위험을 제기한다고 보고한 바 있다. 이러한 위험은 에너지 업계에서 뚜렷하게 나타나며, 특히 석유화학 생산과 관련된 경제 성장과 경쟁우위 확보에 대한 이란의 국가적 우선순위에 부합한다”고 설명했다.
이어 보고서는 “파이어아이는 이러한 공격자 그룹들이 사실 동일한 집단이라는 높은 확신을 얻을 때까지 독립적으로 추적할 것이다. 기재된 각각의 침입 배후에 있는 공격자들은 필요에 따라 전용 침투도구 외에 공공으로 사용이 가능하지만 널리 알려져 있지 않은 툴과 기술을 사용하고 있다”고 덧붙였다.
