맨디언트 “윈도우10 설치 프로그램 위장 공격 발견”

우크라이나 정부 타깃 공격 발견…ISO 파일로 유포해 탐지 회피
[데이터넷] 윈도우 10 운영체제 설치 프로그램으로 가장한 트로이목마가 우크라이나를 대상으로 배포된 정황이 발견됐다. 맨디언트에 따르면 이 공격은 우크라이나 사용자를 타깃으로 설계됐으며, 정부 내 일부 사용자의 손상된 계정이 후속 공격에 사용됐다.

맨디언트는 러시아 사이버 스파이로 의심되는 UNC4166 공격그룹의 소행으로 추정하고 있으며, 전쟁 초반부터 러시아 정보총국(GRU)과 관련된 클러스터의 와이퍼 멀웨어 공격의 표적이 됐던 피해 조직을 공격하고 있다는 것을 그 근거로 들었다.

트로이목마가 포함된 윈우도 10 설치 프로그램은 우크라이나 언어팩을 사용하며, ISO 파일로 제작돼 우크라이나어와 러시아어 토렌토 파일 공유 사이트를 통해 배포됐다. ISO 파일을 공유 사이트를 통해 배포하면 목표 조직에 설치되기까지 꽤 오랜 시간이 걸릴 수 있지만, 공격자들은 탐지를 우회하기 위해 이 방식을 택한 것으로 보인다.

ISO 파일은 윈도우가 마이크로소프트에 보내는 보안 원격 측정 기능을 비활성화하고, 자동 업데이트와 라이선스 확인을 차단한다. 맨디언트는 랜섬웨어난 크립토마이너 등 금전적 동기가 있는 행위는 찾을 수 없었으며, 새로운 방식의 공격이어서 이전의 위협 클러스터와 연결점을 찾지 못했다고 밝히면서도 우크라이나 정부의 정보를 훔치려고 한 것이라고 추측했다.

존 헐트퀴스트(John Hultquist) 맨디언트 위협 인텔리전스 총괄은 “이번에 발견된 공격이 기술적 측면에서는 솔라윈즈공급망 공격만큼 정교하지는 않지만, 목표 대상까지 도달할 수 있도록 많은 잠재적 표적을 손상시킬 목적으로 설계된 것으로 보인다는 점에서 솔라윈즈 공격과 유사하다. 이번 공격의 최종 타깃은 우크라이나 정부였다. 조직은 공급망을 간과해선 안된다. 이처럼 언제든 강력하거나 날카로운 공격의 도구가 될 수 있기 때문”이라고 밝혔다.

이 게시글이 문제가 될 시, 삭제하겠습니다

출처 : 데이터넷(http://www.datanet.co.kr)