청호PENTEST - Professional Penetration Testing Company

Select Language
미군과 밀접한 관계에 있는 기관...군 시각에서 위험한 것들에 대해 경고 발령
사이버 사령부가 러시아 외 국가에 대한 경고 발표한 건 처음...이란 관계 심각성 나타내


 미국의 사이버 사령부가 사기업들과 정부 기관들에 경보를 발령했다. 이란 정부와 관련되어 있는 해킹 단체들이 미국 조직들을 대상으로 사이버 공격을 펼치고 있다는 내용이다. 특별히 마이크로소프트의 아웃룩(Outlook) 클라이언트를 통해 사용자의 크리덴셜에 접근하고 있다는 경고가 눈에 띄었다.

[이미지 = iclickart]


이 란의 공격자들이 악용하고 있는 아웃룩 취약점은 2017년 10월 마이크로소프트가 이미 패치를 발표한 것으로, 아직 많은 단체들이 패치를 적용하지 않았기 때문에 여전한 위협으로 남아있다. 보안 업체 파이어아이(FireEye)의 보안 전문가 닉 카(Nick Carr)는 “불과 3주 전에도 이 취약점을 악용한 공격 캠페인이 있었다”고 말할 정도다.

카는 “이 아웃룩 취약점 문제는 앞으로도 계속해서 많은 조직들을 괴롭힐 것으로 보인다”고 설명한다. 굳이 사용자들이 패치에 게을러서만은 아니다. “블루팀, 레드팀 훈련을 해본 결과 이 취약점에 대한 패치가 많이 불안정하다는 걸 알게 되었습니다. 레지스트리 키를 조작함으로써 이전 버전으로 롤백시키는 게 가능하거든요. 즉, 패치를 해도 소용이 없다는 것이죠. 이란의 해커들이 실시하는 것도 바로 이러한 공격이고요.”

현재 이란과 미국은 꽤나 심각한 긴장관계를 유지하고 있다. 양측 모두 서로를 향해 사이버 공격을 실시하고 있다고 주장하고 있으며, 상대의 공격을 무력화시켰다고 우기고 있다. 현재 아웃룩 취약점을 통해 미국 단체들을 공격하고 있는 건 APT34일 가능성이 가장 높은 것으로 나타났다. 주로 중동을 노리던 단체다. 그 외에 APT33이 참전하고 있는 것도 사실로 보인다고 한다. 미국, 유럽, 중동을 고루 노리던 조직이다.

보안 업체 크로니클(Chronicle)의 애플리케이션 첩보 전문가인 브랜든 르벤(Brandon Levene)은 “이란의 공격자들은 파괴적인 멀웨어를 사용할 줄도 알고, 사용할 의지도 가지고 있으므로 각 조직들은 방어력을 높여야 할 것”이라고 말한다. “방어력을 높이는 방법은 1) 최신 버전으로 시스템과 앱들을 패치하고, 2) 자신의 조직이 이란의 표적이 될만한지, 그 가능성이 어느 정도인지 객관적으로 파악해 그에 맞는 방어 장치를 마련하는 것”이다.

문제의 취약점은 CVE-2017-11774로, 공격자들은 이메일 클라이언트에 있는 홈 페이지 기능을 통해 HTML과 비주얼베이직 코드를 주입할 수 있게 된다. 그러면서 샌드박스도 탈출할 수 있게 된다. 원격에서도 취약점을 발동시키는 게 가능하다. 보안 업체 센스포스트(SensePost)가 이 취약점을 가장 먼저 발견해 마이크로소프트에 알린 것으로 알려져 있다.

센스포스트는 당시 “이 취약점을 가지고 홈 페이지 기능을 악용하는 게 쉽지만은 않지만, 성공할 경우 매우 은밀하게 공격을 진행할 수 있다는 장점이 있다”고 설명한 바 있다. 이런 사실이 알려진 것이 20개월 전이지만, 이란은 최소 2018년부터 이 취약점을 악용해왔고, 현재도 유용한 공격으로 이어지고 있다.

미국 사이버 사령부는 바이러스토탈(VirusTotal)에 다섯 가지 파일들을 제출했다. 전부 아웃룩을 겨냥한 이란 해커들의 캠페인에서 추출한 것들이다. 그러면서 “배포되는 멀웨어의 출처는 ‘customermgmt.net/page/macrocosm’이라고 알렸다. 사이버 사령부가 러시아 외 해외 세력의 사이버 공격에 대해 경고를 발표한 건 이번이 처음이다.

이번 캠페인에서부터 나온 파일들 중 일부는 2016년 공격에도 활용된 적이 있을 정도로 오래된 것이다. 그러나 위에 언급된 악성 웹사이트는 불과 수주 전에 만들어진 것으로 밝혀졌다. 즉, 사이버 사령부가 굉장히 시기적절하게 경고를 발표한 건 아니고, 오히려 오래전부터 이란의 해커들을 주시해왔던 것으로 보인다.

르벤은 “사이버 사령부는 군의 일부 조직”이라며 “군의 시각에서 위협 요소라고 생각하는 것들에 대해 경고하는 곳”이라고 설명을 추가했다. 즉 위험한 일이 벌어질 때마다 민간 기업들에 경고하는 단체가 아니라는 것이다.

그 러면서 르벤은 “사이버 사령부가 발표한 기술적 지표들도 그리 유용하지 않다”고 설명을 이어갔다. “지난 몇 년 동안 알려진 내용들을 모아놓은 것입니다. 역사적 자료는 될지 몰라도 기술적으로 당장에 유용한 것은 아닙니다. 그러나 이렇게 모아놓으니, 이란의 해커들이 어떤 전술을 사용하고, 어떤 전략을 활용하며, 어떤 성향을 나타내는지는 볼 수 있습니다. 그러므로 방어 전략을 구축하는 데에도 충분히 사용할 수 있습니다.”
번호 제목 닉네임 조회 등록일
8140 화웨이의 체코 법인, 개인정보 수집해 중국으로 전송했다 새 글
[레벨:30]관리자
  2019-07-24
8139 납품 견적 의뢰서 사칭 정보 탈취 악성코드 유포중…주의
[레벨:30]관리자
1 2019-07-23
8138 갈수록 늘어나는 표적형 랜섬웨어 공격, 현황을 정리해보니
[레벨:30]관리자
  2019-07-23
8137 DHL에서 보낸 ‘배송 지연’ 메일, 악성코드 함께 배달
[레벨:30]관리자
  2019-07-23
8136 라자루스 해킹조직, 암호화폐 거래소 회원 겨냥 해킹 이메일 유포중…주의
[레벨:30]관리자
3 2019-07-22
8135 최근 공격자들이 자주 남용하는 정상 도구 8
[레벨:30]관리자
2 2019-07-22
8134 스톱! 랜섬웨어 재등장...견적, 배달 이메일 조심하세요
[레벨:30]관리자
  2019-07-22
8133 리눅스 시스템 노리는 정찰용 멀웨어, 이블놈 등장
[레벨:30]관리자
  2019-07-22
8132 호주 보안 업체, 사일런스의 인공지능 솔루션 뚫었다고 주장
[레벨:30]관리자
1 2019-07-22
8131 中 “6월 바이러스 감염 컴퓨터 80만여 대...보안사건 1,200건”
[레벨:30]관리자
  2019-07-22
8130 스프린트, 해커가 삼성 사이트 통해 일부 고객 계정 해킹했다고 공표
[레벨:30]관리자
  2019-07-19
8129 계정이 폐쇄되었습니다? 계정 탈취 노린 피싱 메일 또 유포
[레벨:30]관리자
1 2019-07-19
8128 외주직원의 신상명세서? 라자루스의 한글문서 공격 또 발견
[레벨:30]관리자
3 2019-07-17
8127 2019년 1분기, HTTPS 이용 악성 URL 26% ↑, 피싱 시도 17% ↑
[레벨:30]관리자
7 2019-07-16
8126 라자루스 해킹그룹, 금융권 외주직원 타깃…신상명세서 문서로 위장해 공격수행
[레벨:30]관리자
10 2019-07-16
8125 한국 괴롭힌 랜섬웨어 7개 피해금액 집계했더니... ‘케르베르’ 1위
[레벨:30]관리자
11 2019-07-15
8124 공정위 사칭한 해킹 메일 유포…열람 시 악성코드 감염
[레벨:30]관리자
6 2019-07-12
8123 깃허브 계정, 6일 해킹당해…우분투 소스코드는 안전
[레벨:30]관리자
13 2019-07-11
8122 미국 사이버 사령부가 공개한 이란 멀웨어, 수년 전 발견된 것
[레벨:30]관리자
12 2019-07-10
Selected 미국의 사이버 사령부, “이란 해커가 MS 아웃룩 노린다”
[레벨:30]관리자
12 2019-07-10
Tag List

서비스 링크

X
Login

브라우저를 닫더라도 로그인이 계속 유지될 수 있습니다. 로그인 유지 기능을 사용할 경우 다음 접속부터는 로그인을 하실 필요가 없습니다. 단, 게임방, 학교 등 공공장소에서 이용 시 개인정보가 유출될 수 있으니 꼭 로그아웃을 해주세요.

아이디가 없으신 분은

회원가입 후 이용하실 수 있습니다.

X