‘다크호텔’APT 공격 더 정교해져…‘해킹팀’ 유출 취약점도 활용

실시간
뉴스

침해사고/위협동향

‘다크호텔’APT 공격 더 정교해져…‘해킹팀’ 유출 취약점도 활용

디지털데일리 발행일 2015-08-11 16:23:20

이유지

URL복사

- 어도비 플래시 제로데이 취약점 이용, 27개 안티바이러스 우회

[디지털데일리 이유지기자] 지능형지속위협(APT) 공격조직으로 알려진 ‘다크호텔(Darkhotel)’이 이탈리아 업체인 ‘해킹팀’ 해킹으로 유출된 제로데이 취약점을 이용한 사이버공격을 시작했다고 카스퍼스키랩이 11일 밝혔다.

‘다크호텔’은 지난해 고급호텔의 와이파이(WiFi) 네트워크에 침투, 기업 임원들의 컴퓨터에 스파이 툴을 심고 정보를 유출해 악명을 떨쳤다.

카스퍼스키랩 전문가들은 지난해 이같은 ‘다크호텔’ 공격을 찾아냈다. 올해에도 ‘다크호텔’은 한국을 포함해 북한, 러시아, 일본, 방글라데시, 태국, 인도, 모잠비크, 독일 등을 대상으로 스피어피싱 공격을 벌이고 있으며 그 범위를 점점 넓히고 있다고 분석했다.

카스퍼스키랩은 “‘다크호텔’은 취약한 웹사이트에서 호스팅되는 새로운 어도비 플래시 플레이어 취약점을 이용해 다시 나타났다. 이번에는 해킹팀에서 유출된 취약점을 활용하고 있다”며 “몇년간 비축한 플래시 제로데이·하프데이 취약점을 사용하고 있는 것으로 보인다. 세계 각국 고위 인사를 대상으로 정교한 공격을 감행하기 위해 더 많은 취약점들을 보유하고 있을 것이다. 이전 공격에서는 최고경영자(CEO), 상무, 영업, 마케팅 부장, 연구개발(R&D) 수석 연구원들을 대상으로 삼았다”고 말했다.

지난해까지 ‘다크호텔’은 탈취한 코드사인 인증서를 도용하거나 호텔 와이파이에 침투해 기업 임원 등 공격대상 컴퓨터에 스파이 툴을 설치하는 방법을 사용했다.

카스퍼스키랩 조사 결과, 올해에는 다양한 신종 악성코드, 지속적인 인증서 도용, 끈질긴 사회 공학적 기법에 더해 해킹팀이 사용한 제로데이 취약점을 활용하는 공격 방식을 이용하는 것으로 나타났다.

‘다크호텔’은 탈취한 인증서를 비축하고 있는 것으로 추정된다. 탈취한 인증서로 서명된 다운로더와 백도어를 배포해 안전한 파일로 가장한 후 공격 대상자를 속이고 침투한다.

이들은 공격 대상에 대한 피싱 공격이 실패했더라도 수개월 후에 다시 사회공학적 피싱 공격을 시도하는 등 집요하고 끈질기게 APT 공격을 수행한다. 해킹팀은 어도비 플래시 제로데이 취약점을 이용했다.

카스퍼스키랩은 ‘다크호텔’이 약 8년간 활동을 해 왔으며 최근 어도비 플래시 플레이어 제로데이 공격을 지속적으로 펼친 것으로 추정하고 있다.

이와 함께 ‘다크호텔’은 탐지 방지 기술 보완 등, 방어 기술 강화에 힘을 쏟고 있는 것으로 나타났다. 2015년 버전의 ‘다크호텔’ 다운로더는 전세계 27개 회사의 안티바이러스(백신) 기술을 식별하고 우회하도록 설계됐다.

<이유지 기자>yjlee@ddaily.co.kr