[데이터넷] 이란이 배후에 있는 것으로 의심되는 APT35가 로그4j(Log4j) 취약점을 악용해 스피어피싱, 랜섬웨어 등의 공격을 하고 있는 것으로 나타났다.

체크포인트 조사에 따르면 차밍키튼, TA453 이라고도 불리는 APT35가 취약점 공개 4일만에 공개적으로 광범위한 스캐닝을 시작하면서 공격 활동을 시작했다.

이들은 첫번째 피해자를 감염시킨 후 파워셸 기반 모듈식 백도어 참파워(CharmPower)를 설치하며, 데이터 암호화, 데이터 추출 등의 공격이 가능한 모듈을 생성시킨다. 이들은 감염된 시스템의 애플리케이션을 파악하고, 스크린샷을 찍어 송출하며, OS와 컴퓨터 정보를 가져가는 등의 위협행위를 한다. 공격을 마친후에는 시스템에서 모든 흔적을 제거한다.

APT 공격자들은 탐지되지 않도록 도구와 인프라를 변경하면서 조심스럽게 활동하는 APT35는 잦은 실수를 벌이며, 노출된 후에도 공격 인프라를 변경하는데 많은 노력을 기울이지는 않는다. 그러면서도 고급 스피어피싱 공격이나 랜섬웨어 등 APT 공격 캠페인을 벌이고 있다.

보고서에서는 “공격자는 새로운 취약점이 공개된지 며칠만에 공격을 시작한다. 로그4j와 같은 단순하고 광범위한 취약점은 APT 공격자들에게 매우 매력적인 공격도구”라며 “공격자는 쉽게 다른 도구와 전략·전술을 사용할 수 있고, 공격의 다른 단계에서 다른 방법을 사용할 수 있으므로 침해 행위가 발견되지 안는지 살펴야 한다”고 말했다.

김선애 기자 다른기사 보기