요로트루퍼라는 해커 그룹이 유럽 국가의 정부와 에너지 기업을 공격하고 있다.
요로트루퍼는 시스코탈로스(Cisco Talos) 연구팀에 의해 처음 발견됐으며, 2022년 6월부터 활동한 것으로 알려졌다.
시스코탈로스 연구팀에 따르면, 요로트루퍼는 주로 독립국가연합(CIS), 유럽 대사관, 유럽연합(EU) 소속 의료 기관 등을 노리고 있다. 또한 이들은 최근 국제 기구와 세계지식재산권기구(WIPO)의 계정도 해킹한 것으로 알려졌다. 해킹된 데이터에는 계정 외에도 응용 프로그램의 자격 증명, 브라우저 기록 및 쿠키, 시스템 정보 및 스크린샷이 포함돼 있다.
시스코탈로스 연구팀은 요로트루퍼가 유럽 전역의 다른 기업과 터키의 정부 기관을 목표로 할 가능성도 있다고 강조했다. 특히 아제르바이잔, 타지키스탄, 키르기스스탄 등 CIS와 에너지 기업을 노릴 가능성이 높다.
연구팀에 따르면, 요로트루퍼는 파이썬 기반의 커스텀 빌드, 오픈 소스 정보 스틸러를 사용하고 있으며, 이는 Nuitka 프레임워크와 PyInstaller를 통해 실행 파일로 포장된 스팅 스틸러와 비슷하다. 또한 이들은 에이브마리아, 로다RAT, 미터프리터 등 악성코드도 사용하는 것으로 알려졌다.
연구팀은 "공격에 사용된 악성 HTA 파일은 차세대 페이로드, 악성 EXE 기반 드롭퍼, 미끼 문서를 다운로드하는 최신 버전으로 꾸준히 진화해 왔다. 모든 것은 PowerShell 기반의 명령을 통해 이뤄진다”라고 설명했다.
전문가들은 TTP에서 RAT와 요로트루퍼 그룹의 피해자들 사이에서 몇 가지 공통점을 발견했다. 바로 사용하는 악성코드의 소스코드에 이들이 러시아어를 사용했다는 점이다.
연구팀은 "요로트루퍼는 공격에서 맞춤형 악성코드를 포함한 새로운 악성코드를 감염 체인에 지속적으로 도입했다. 처음에는 에이브마리아, 로다RAT 등 상용 악성코드 배포로 시작됐지만 지금은 파이썬 기반 악성코드까지 포함하는 등 크게 발전했다는 점에 주목할 필요가 있다”라고 말했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
