러시아 해커 조직 APT29가 해킹 탐지를 피하기 위해 구글 드라이브 클라우드 스토리지 서비스를 이용하고 있는 것으로 알려졌다.
미국의 보안 기업 팔로알토네트웍스 연구팀은 Cloaked Ursa로 추적되는 러시아 관련 해커 조직 APT29가 탐지를 피하기 위해 구글 드라이브 클라우드 스토리지 서비스를 이용하고 있다고 보고했다.
APT29는 구글 드라이브의 스토리지 서비스를 사용해 데이터를 추출하고 악성 페이로드의 흔적을 지운 것으로 알려졌다. 해커들의 클라우드 서비스를 사용은 일반적이지만, 전문가들은 이번 움직임에서 처음으로 해커가 구글 드라이브의 클라우드 스토리지 서비스를 활용했다고 지적했다.
팔로알토네트웍스는 "구글 드라이브 클라우드 스토리지 서비스는 전 세계의 수백만 고객과 연결돼 있어 해커들의 멀웨어와 연관되는 것이 매우 우려스럽다"라고 걱정했다.
전문가들이 관찰한 APT29의 최근 공격은 2022년 5월에서 6월 사이에 여러 서방 외교 공관을 표적으로 일어났다. 이들은 포르투갈의 외국 대사관과 브라질의 외국 대사관을 대상으로 피싱 메시지를 보냈다.
피싱 메시지에는 Cobalt Strike 비콘과 악성 페이로드에 대한 드로퍼 역할을 하는 악성 HTML 파일, EnvyScout에 대한 링크가 포함돼 있다.또한 APT29는 EnvyScout라고 하는 감염 도구를 사용하는 것으로 알려진다. 이는 악성 ISO 파일 형태로 멀웨어를 난독화하는데 사용된다. 이 기술을 HTML Smuggling이라고 부른다.
팔로알토네트웍스는 생성 시간, 생산자, PDF 버전, 메타 데이터 등을 통해 피싱 메시지를 분석했다. 또한 2022년 4월 초 VirusTotal에 업로드된 다른 의심스러운 문서도 찾아냈다. 분석 결과, 발견된 문서의 상당수는 일반적인 피싱 문서였다. 이는 APR29가 이러한 문서를 계속 생산할 수 있게 하는 특정 피싱 빌더가 있을 가능성이 높다는 점을 시사한다.
공격에 사용된 Agenda.html 파일은 페이로드를 난독화하고 하드 드라이브에 악성 ISO 파일을 작성하는 데 사용된다. 페이로드 파일은 Agenda.iso라는 ISO 파일이다. 악성 ISO 파일이 다운로드 후 설치되면 감염이 시작되고 시스템에서 악성코드가 실행된다.
팔로알토네트웍스는 “최근 있었던 두 번의 공격은 구글 드라이브와 드롭박스(Dropbox)를 이용해 악성코드를 배포하고 난독화했다. 이는 새로운 공격 수법이며 구글 드라이브가 전 세계에서 널리 사용되고 있어 앞으로도 탐지가 어려울 것으로 예상된다”라고 말했다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
