[데이터넷] 2021년 공개된 로그4j 취약점(로그4셸)이 여전히 공격에 이용되고 있다. 시스코 위협분석조직 탈로스는 북한 지원 공격그룹 라자루스의 ‘블랙스미스(Blacksmith)’ 작전에 로그4j 취약점과 텔레그램을 C2 채널로 활용하는 DLang 기반 원격접속도구(RAT) ‘나인랫(NineRAT)’이 활용되고 있다고 설명했다.

탈로스 분석에 따르면 공격자는 공개된 상태로 운영되는 서버에서 로그4j 취약점을 찾아 침투한 후 시스템 정보와 사용자 정보 검색, OS 자격증명 덤핑, 레지스트리 수정 등의 초기 침투 행위를 시작한다. 그리고 감염된 시스템에 직접 액세스 할 수 있는 프록시 도구 ‘해지로드(HazyLoad)’를 배포했다.

공격자는 시스템에 추가 사용자 계정을 생성하고 관리자 권한을 부여했으며, ‘미미카츠(MimiKatz)’ 등 자격증명 탈취 악성코드를 설치하고 사용한다. 이후 나인랫을 배포하고 텔레그램 기반 C2 채널과 통신하면서 정보 수집 등의 공격행위를 이어간다.

탈로스는 이 캠페인에 사용된 나인랫이 지난해 5월 구축됐으며, 올해 3월 남미 농업조직과 9월 유럽 제조기업을 대상으로 사용된 것이 확인됐다고 밝혔다. 이들의 활동 중에는 마이크로소프트가 발견한 오닉스슬릿(Onyx Sleet)과 일치하는 것도 있다. 오닉스슬릿은 안다리엘이라고도 불리며, 제트브레인의 CI/CD 애플리케이션 팀시티(TeamCity)에 영향을 미치는 원격코드 실행 취약점 악용 공격을 수행한다.

안다리엘은 라자루스의 하위 그룹으로, 북한 정부의 이익을 위한 정보수집 활동을 수행하며, 주로 초기 접근과 정찰, 장기 접근을 위한 기반 확보 등의 임무를 맡는다. 이들이 사용하는 맞춤형 프록시 해지로드는 우리나라 물리적 보안·감시회사의 미국 자회사와 유럽 회사를 표적으로 삼고 있어 미국, 유럽 등을 대상으로 한 사이버 첩보 활동을 펼치는데 사용되는 것으로 보인다.

탈로스는 블랙스미스가 텔레그램 C2 채널을 사용한다는 점도 주목해야 한다고 설명했다. 합법적인 서비스를 사용해 탐지를 우회하는 수법은 앞으로 더 지능화될 것으로 예상된다.

김선애 기자 다른기사 보기