해커 조직 토디캣이 마이크로소프트의 익스체인지 서버를 공격하고 있다.
카스퍼스키랩(Kaspersky) 보안 연구원에 따르면, 2020년 12월부터 유럽과 아시아의 기업·기관을 대상으로 행해진 사이버 공격이 토디캣(ToddyCat)이라는 새로운 APT 해커 조직과 연관이 있는 것으로 밝혀졌다.
연구원들에 따르면, 토디캣은 초기 대만과 베트남의 기업을 대상으로 사이버 스파이 활동을 시작했다. 또한 이들은 제로데이 익스플로잇을 통해 마이크로소트프 익스체인지 서버를 표적으로 삼는 것으로 관찰됐다.
토디캣은 익스플로잇을 활용해 대상 시스템에 China Chopper 웹셸을 구축했다. 웹셸은 중국 연계 위협 해커들이 사용하는 악성코드로, 이 코드를 사용하면 공개적으로 노출된 웹 서버에 PHP, ASP, ASPX, JSP 및 CFM 웹셸을 설치할 수 있다.
웹셸이 설치 되면 해커는 노출된 웹사이트를 통해 원격 서버에 대한 접근 권한을 얻는다. 토디캣은 이 웹셸을 사용해 사무라이 백도어, Ninja Trojan과 관련된 다단계 공격 체인을 구축했다.
보안 연구원들은 “우리는 토디캣이 2020년 12월에 마이크로소프트 익스체인지의 취약점을 악용하기 시작한 것으로 보고 있다. 하지만 충분한 정보가 없다. 다만 2020년 12월에서 2월 사이에 감염된 모든 대상 컴퓨터는 마이크로소프트 익스체인지 서버임을 확인헀다. 해커는 알려지지 않은 익스플로잇으로 서버를 공격했다”라고 설명했다.
연구원들에 따르면, 토디캣은 아프가니스탄, 인도, 인도네시아, 이란, 키르기스스탄, 말레이시아, 파키스탄, 러시아, 슬로바키아, 태국, 영국, 우즈베키스탄 등 여러 국가 기관에 대한 공격을 일삼는 것으로 알려졌다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
